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—<iQué significa habla, amigo y entra ? —preguntó Merry. 

—Es bastante claro —dijo Gimli—. Si eres un amigo, dices la contrasena y las puertas se abren 
y puedes entrar. 

—Sí —dijo Gandalf—, es probable que estas puertas estén gobernadas por palabras... 

J.R.R. Tolkien, El Seííor de Los Anillos 


Yo seguia sin entender. De pronto, tuve una iluminación: 

—[Super thronos viginti quatuor! [La inscripción! [Las palabras grabadas sobre el espejo! 

—[Vamos! —dijo Guillermo—. [Quizás aún esternos a tiempo de salvar una vida! 

Umberto Eco, El Nombre de la Rosa 


—^Y qué? —preguntó un visitante de Washington—. ^Qué significan otros números primos 
más? 

—Tal vez significa que nos están enviando un dibujo. Este mensaje está compuesto por una 
enorme cantidad de bits de información. Supongamos que esa cantidad es el producto de tres 
números más pequenos (...). Entonces, el mensaje tendría tres dimensiones. 

Cari Sagan, Contact 


En la pantalla se formaban y volvían a formarse dibujos de hielo mientras él tanteaba en 
busca de brechas, esquivaba las trampas más obvias y trazaba la ruta que tomaria a través 
dei hielo de la Senso/Red. 


William Gibson, Neuromante 
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Aviso Importante 

Este libro está en constante evolución. Por ello, le aconsejo que consulte la siguien- 
te página web: 

http ://wwwdi.ujaen .es/ ~mlucena/1cripto.html 

En ella podrá: 

■ Si no dispone de los archivos . sig correspondientes, verificar la firma digital 
dei libro. 

■ Consultar la Fe de Erratas. 

■ Descargar la última versión. 


Manuel J. Lucena López 


Criptografia y Seguridad en Computadores 




6 


Manuel J. Lucena López 


Criptografia y Seguridad en Computadores 



7 


OiCreative 

C^commons 


Reconocimiento-NoComercial 2.5 Espana 


Usted es libre de: 



copiar, distribuir y comunicar públicamente la obra. 


hacer obras derivadas. 


Bajo las condiciones siguientes: 



Reconocimiento. Debe reconocer los créditos de la obra de la manera 
especificada por el autor o el licenciador (pero no de una manera que 
sugiera que tiene su apoyo o apoyan el uso que hace de su obra). 


No comercial. No puede utilizar esta obra para fines comerciales. 


■ Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la 
licencia de esta obra. 

■ Alguna de estas condiciones puede no aplicarse si se obtiene el permiso dei 
titular de los derechos de autor. 

■ Nada en esta licencia menoscaba o restringe los derechos morales dei autor. 

Los derechos derivados de usos legítimos u otras limitaciones reconocidas por ley 

no se ven afectados por lo anterior. 

Esto es un resumen legible por humanos dei texto legal (la licencia completa) 

disponible en la siguiente dirección: 

http:/ / creativecommons.org/licenses/by-nc/2.5/es/ legalcode.es 
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Capítulo 1 
Introducción 

1.1. Cómo Leer esta Obra 


Esta obra ha sido organizada en seis partes: 

1. Preliminares. Aqui se incluyen todos los conceptos básicos y se introduce la ter¬ 
minologia empleada en el resto dei libro. Su lectura es recomendable incluso 
para las personas que ya conocen el tema, puesto que puede evitar cierta con- 
fusión en los términos empleados a lo largo de la obra. 

2. Fundamentos Teóricos de la Criptografia. Se desarrollan brevemente los resultados 
teóricos sobre los que se van a apoyar las diferentes técnicas descritas en el 
libro. Si usted no domina las Matemáticas, o simplemente no tiene interés en 
estos fundamentos, puede pasar estos capítulos por alto. 

3. Algoritmos Criptográficos. Este bloque está dedicado a los algoritmos de cifrado 
—simétricos y asimétricos— a las funciones resumen, y en general a las técnicas 
que permiten garantizar la seguridad de la información. 

4. Aplicaciones Criptográficas. A lo largo de la segunda parte dei libro estudiare- 
mos distintas aplicaciones de la Criptografia, como la comunicación segura, los 
certificados digitales, etc. 

5. Seguridad en Computadores. El propósito de esta sección consiste en identificar y 
analizar los distintos problemas de seguridad que surgen en redes de compu¬ 
tadores y en sistemas operativos. Se estudiarán diversas técnicas que permiten 
resolverlos o, al menos, minimizar los riesgos. 
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1. Introducción 


6. Apêndices. 

Este texto no tiene necesariamente que ser leído capítulo por capítulo, aunque se 
ha organizado de manera que los contenidos más básicos aparezcan primero. La parte 
de fundamentos teóricos está orientada a personas con unos conocimientos mínimos 
sobre Álgebra y Programación, pero puede ser ignorada si ei lector está dispuesto a 
prescindir de las justificaciones matemáticas de lo que encuentre en posteriores capí¬ 
tulos. La recomendación dei autor en este sentido es clara: si es su primer contacto con 
la Criptografia, deje los fundamentos teóricos justo para el final, o correrá el riesgo de 
perderse entre conceptos que, si de una parte son necesarios para una comprensión 
profunda dei tema, no son imprescindibles a la hora de empezar a adentrarse en este 
apasionante mundo. 

Se ha pretendido que todos los conceptos queden suficientemente claros con la 
sola lectura de este libro, pero se recomienda vivamente que si el lector tiene interés 
por profundizar en cualquiera de los aspectos tratados aqui, consulte la bibliografia 
para ampliar sus conocimientos, pudiendo emplear como punto de partida las pro- 
pias referencias que aparecen al final de este libro, aunque por desgracia, algunas de 
las más interesantes están en inglês. 


1.2. Algunas notas sobre la Historia de la Criptografia 

La Criptografia moderna nace al mismo tiempo que las computadoras. Duran¬ 
te la Segunda Guerra Mundial, en un lugar llamado Bletchley Park, un grupo de 
científicos entre los que se encontraba Alan Turing, trabajaba en el proyecto ULTRA 
tratando de descifrar los mensajes enviados por el ejército alemán con los más so¬ 
fisticados ingenios de codificación ideados hasta entonces: la máquina ENIGMA y 
el cifrado Lorenz. Este grupo de científicos disenó y utilizo el primer computador de 
la Historia, denominado Colossns —aunque esta información permaneció en secreto 
hasta mediados de los 70—. 

Desde entonces hasta hoy ha habido un crecimiento espectacular de la tecnologia 
criptográfica, si bien la mayor parte de estos avances se mantenían —y se siguen man- 
teniendo, según algunos— en secreto. Linanciadas fundamentalmente por la NSA 
(Agencia Nacional de Seguridad de los EE.UU.), la mayor parte de las investigacio- 
nes hasta hace relativamente poco tiempo han sido tratadas como secretos militares. 
Sin embargo, en los últimos anos, investigaciones serias llevadas a cabo en universi¬ 
dades de todo el mundo han logrado que la Criptografia sea una ciência al alcance 
de todos, y que se convierta en la piedra angular de asuntos tan importantes como el 
comercio electrónico, la telefonia móvil, o las nuevas plataformas de distribución de 
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contenidos multimedia. Esta dualidad civil-militar ha dado lugar a una curiosa doble 
historia de la Criptografia, en la que los mismos algoritmos eran descubiertos, con 
pocos anos de diferencia, por equipos de anónimos militares y posteriormente por 
matemáticos civiles, alcanzando únicamente estos últimos el reconocimiento público 
por sus trabajos. 

Muchas son las voces que claman por la disponibilidad pública de la Criptografia. 
La experiencia ha demostrado que la única manera de tener buenos algoritmos es que 
éstos sean accesibles, para que puedan ser sometidos al escrutínio de toda la comuni- 
dad científica. Existe una máxima en Criptografia que afirma que cualquier persona 
—o equipo— es capaz de desarrollar un algoritmo criptográfico que él mismo no sea 
capaz de romper. Si la seguridad de nuestro sistema se basa en que nadie conozca su 
funcionamiento tiene varias implicaciones perversas: por un lado, aquellos que quie- 
ran conocer su verdadera resistência tendrán que confiar en nuestra palabra, y por 
otro, provoca una falsa sensación de seguridad, ya que si algún enemigo encuentra un 
agujero, es bastante probable que no lo publique. En consecuencia, el único secreto 
que debe tener un sistema criptográfico es la clave. Ejemplos a lo largo de la historia 
sobre fracasos de esta política de seguridad basada en la oscuridad, por desgracia, hay 
muchos, algunos de ellos en âmbitos tan delicados como el Voto Electrónico. 

Salvo honrosas excepciones 1 , la Criptografia llega hasta nosotros en forma de pro¬ 
gramas informáticos. Un programa mal disehado puede echar por tierra la seguridad 
de un buen algoritmo criptográfico, por lo que es necesario conocer cómo está escrito 
el programa en cuestión, para poder detectar y eliminar los fallos que aparezcan en 
él. En este sentido, el Sofzvare Libre, cuyo código fuente está a disposición de los usuá¬ 
rios —a diferencia dei software privativo, que mantiene el código fuente en secreto— 
quizás sea el que brinda mejores resultados, ya que permite a cualquiera, además de 
asegurarse de que no contiene puertas traseras, estudiar y eventualmente corregir el 
código si encuentra fallos en él. Actualmente, una de las mayores amenazas sobre el 
software libre es la pretensión de establecer sistemas de patentes sobre los programas 
informáticos, con un claro perjuicio tanto para los usuários como para las pequenas 
empresas frente al poder de las grandes corporaciones. Por desgracia, parece que a 
nuestros gobiernos les interesan más los benefícios de las multinacionales que los 
intereses de los ciudadanos. 

Es imposible desligar la Criptografia moderna de todas las consideraciones políti¬ 
cas, filosóficas y morales que suscita. Hoy por hoy, tiene más poder quien más infor- 
mación controla, por lo que permitir que los ciudadanos empleen técnicas criptográ¬ 
ficas para proteger su intimidad limita de forma efectiva ese poder. Con el pretexto 
de la seguridad se están aplicando medidas para ralentizar el acceso de los ciudada- 

1 Como el algoritmo Solitaire, desarrollado por Bruce Schneier, para el que únicamente se necesita 
papel, lápiz, una baraja y algo de paciência. 
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nos a la Criptografia fuerte, bien desprestigiando a quienes la usan, bien dificultando 
por distintos médios su adopción generalizada. Uno de los frentes de debate más 11a- 
mativos en este sentido es la intención de algunos gobiernos de almacenar todas las 
claves privadas de sus ciudadanos, necesarias para firmar digitalmente, y considerar 
ilegales aquellas que no estén registradas. Es como pedirnos a todos que le demos 
a la policia una copia de las llaves de nuestra casa. Esta corriente crea una situación 
extremadamente perversa: aquellos que quieren emplear la Criptografia para usos le¬ 
gítimos encuentran dificultades mientras que, por ejemplo, a un traficante de armas 
le tiene sin cuidado que sea ilegal usaria, con lo que no se frena su uso delictivo. 

Existe un falaz argumento que algunos esgrimen en contra dei uso privado de 
la Criptografia, proclamando que ellos nada tienen que ocultar. Estas personas insi- 
núan que cualquiera que abogue por el uso libre de la Criptografia es poco menos 
que un delincuente, y que la necesita para encubrir sus crímenes. En ese caso, ^por 
qué esas personas que no tienen nada que ocultar no envían todas sus cartas en tarje- 
tas postales, para que todos leamos su contenido?, o ^por qué se molestan si alguien 
escucha sus conversaciones telefónicas? Defender el âmbito de lo privado es un dere- 
cho inalienable de la persona, que en mi opinión debe prevalecer sobre la obligación 
que tienen los estados de perseguir a los delincuentes. Démosle a los gobiernos poder 
para entrometerse en nuestras vidas, y acabarán haciéndolo, no les quepa duda. 

Uno de los elementos más polémicos acerca de los ataques indiscriminados a la 
intimidad es la red Echelon. Básicamente se trata de una red, creada por la NSA en 
1980 —sus precursoras datan de 1952— en colaboración con Gran Bretana, Austrá¬ 
lia y Nueva Zelanda, para monitorizar prácticamente todas las comunicaciones elec¬ 
trónicas —teléfono, e-mail y fax principalmente— dei planeta, y buscar de manera 
automática ciertas palabras clave. La información obtenida iria a la NSA, que luego 
podría a su vez brindársela a otros países. El pretexto es, nuevamente, la lucha contra 
el terrorismo, pero podría ser empleada tanto para espionaje industrial —como pre- 
suntamente ha hecho durante anos el Gobierno Francês, poniendo a disposición de 
sus propias compartias secretos robados a empresas extranjeras—, como para el con- 
trol de aquellas personas que pueden representar amenazas políticas a la estabilidad 
de la sociedad moderna. La Union Europea reconoció la existência de Echelon, pero 
hasta la fecha nadie ha exigido a ningún gobierno explicación alguna; es más, parece 
que los planes de la U.E. al respecto pasan por el despliegue de su propia red de vi¬ 
gilância electrónica, llamada Enfopol. Si bien el proyecto se encuentra paralizado, es 
conveniente mantenerse en guardia, especialmente desde que los terribles atentados 
dei 11 de septiembre de 2001 han propiciado una ola de limitación de las liberta des 
civiles con el pretexto de la seguridad. Quizás algunos deberían recordar aquella fa¬ 
mosa frase de Benjamin Franklin: "Qidenes son capaces de renunciar a la libertad esencial, 
a cambio de una seguridad transitória, no son merecedores de la seguridad ni de la libertad." 
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Uno de los logros más importantes de la sociedad humana es la libertad de ex- 
presión. Naturalmente, lo ideal seria que todos pudiéramos expresar nuestros pen- 
samientos con total libertad, y que cada cual se hiciera responsable de sus palabras. 
Sin embargo, todos sabemos que hay situaciones, incluso en âmbitos en los que su- 
puestamente se respeta la libertad de expresión, en los que ciertas afirmaciones in¬ 
convenientes o politicamente incorrectas pueden dar lugar a represálias. Es necesario, 
por tanto, para poder garantizar la libertad, poder garantizar también el anonimato. 
También es una cuestión de higiene otorgar menos crédito a aquellas cosas que se di- 
cen bajo el paraguas dei anonimato, pero seria peor no disponer de esa posibilidad. 
En este sentido la Criptografia, combinada con otras técnicas, es la única tecnologia 
que puede permitimos llegar a garantizar niveles razonables de anonimato. Después 
de todo, como dijo Thomas Jefferson, "es preferible estar expuesto a los inconvenientes 
que surgen de un exceso de libertad que a los que provienen de una falta de ella." 

No cabe duda de que la información se está convirtiendo en la mayor fuente de 
poder que ha conocido la Humanidad, y que la Criptografia es una herramienta esen- 
cial para su control. Es necesario, pues, que los ciudadanos de a pie conozcan sus 
ventajas e inconvenientes, sus peligros y leyendas. Dicen que vivimos en Democracia 
pero, si a la gente no se le muestra toda la información relevante de manera honesta e 
imparcial, ^cómo va a poder decidir su futuro? Esta obra pretende poner su pequeno 
granito de arena en ese sentido. 


1.3. Números Grandes 


Los algoritmos criptográficos emplean claves con un elevado número de bits, y 
usualmente se mide su calidad por la cantidad de esfuerzo que se necesita para rom- 
perlos. El tipo de ataque más simple es la fuerza bruta, que simplemente trata de ir 
probando una a una todas las claves. Por ejemplo, el algoritmo DES tiene 2 56 posibles 
claves. ^Cuánto tiempo nos llevaría probarlas todas si, pongamos por caso, dispu- 
siéramos de un computador capaz de hacer un millón de operaciones por segundo? 
Tardaríamos... jmás de 2200 anos! Pero iy si la clave dei ejemplo anterior tuviera 128 
bits? El tiempo requerido seria de 10 24 anos. 

Es interesante dedicar un apartado a tratar de fijar en nuestra imaginación la mag- 
nitud real de este tipo de números. En el cuadro 1.1 podemos observar algunos va¬ 
lores que nos ayudarán a comprender mejor la autêntica magnitud de muchos de 
los números que veremos en este texto. Observándola podremos apreciar que 10 24 
anos es aproximadamente cien billones de veces la edad dei universo (y eso con un 
ordenador capaz de ejecutar el algoritmo de codificación completo un millón de ve¬ 
ces por segundo). Esto nos debería disuadir de emplear mecanismos basados en la 
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Valor 

Número 

Probabilidad de ser fulminado por un rayo (por día) 
Probabilidad de ganar la Loteria Primitiva Espanola 
Probabilidad de ganar la Primitiva y caer fulminado 
por un rayo el mismo día 

1 entre 9.000.000.000 (2 33 ) 

1 entre 13.983.816 (2 23 ) 

1 entre 2 56 

Tiempo hasta la próxima glaciación 

Tiempo hasta que el Sol se extinga 

Edad dei Planeta Tierra 

Edad dei Universo 

14.000 (2 14 ) anos 

10 9 (2 30 ) anos 

10 9 (2 30 ) anos 

10 10 (2 34 ) anos 

Número de átomos en el Planeta Tierra 

Número de átomos en el Sol 

Número de átomos en la Via Láctea 

Número de átomos en el Universo (excluyendo maté¬ 
ria oscura) 

10 51 (2 170 ) 

10 57 (2 189 ) 

10 67 (2 223 ) 

10 77 (2 255 ) 

Masa de la Tierra 

Masa dei Sol 

Masa estimada dei Universo (excluyendo matéria os¬ 
cura) 

5,9 x 10 24 (2 82 ) Kg. 

2 x IO 30 (2 100 ) Kg. 

IO 50 (2 166 ) Kg. 

Volumen de la Tierra 

Volumen dei Sol 

Volumen estimado dei Universo 

10 21 (2 69 ) m 3 

10 27 (2 89 ) m 3 

10 82 (2 272 ) m 3 


Cuadro 1.1: Algunos números grandes 


fuerza bruta para reventar claves de 128 bits. 

Para manejar la tabla con mayor rapidez, recordemos que un millón es aproxima¬ 
damente 2 20 , y que un ano tiene más o menos 2 24 segundos. Recorrer completamente 
un espacio de claves de, por ejemplo, 256 bits a razón de un millón por segundo 
supone 2 256-44 = 2 212 anos de cálculo. 


Manuel J. Lucena López 


Criptografia y Seguridad en Computadores 



1.4. Acerca de la Terminologia Empleada 


29 


1.4. Acerca de la Terminologia Empleada 

En muchos libros sobre Criptografia y Seguridad se emplean términos como en- 
criptar y desencriptar , adoptados con toda probabilidad dei verbo anglosajón encrypt. 
El lector podrá comprobar que este tipo de expresiones ha sido evitado en ei pre¬ 
sente texto, debido a la existência de palabras perfectamente válidas que pertenecen 
al idioma castellano, como son cifrar-descifrar y codificar-decodificar (o descodificar). La 
opinión dei autor es que sólo deben emplearse términos foráneos cuando nuestro 
riquísimo idioma carezca de expresiones adecuadas para representar las ideas en 
cuestión. Esta última es la situación en la que se encuentra la palabra esteganogra- 
fía, hispanización dei término inglês steganography —que a su vez proviene dei título 
dei libro ' Steganographia' , escrito por Johannes Trithemius en 1518—. Nótese también 
que el término inglês key está traducido indistintamente mediante los vocablos clave 
o llave, que consideraremos equivalentes en la mayoría de los casos. 

El lector podrá advertir que en este texto aparece el término antentificación, en 
lugar de antenticación. Quisiera hacer notar en este punto que ambos términos son 
correctos y están recogidos en el Diccionario de la Real Academia, y que aqui el uso 
dei primero de ellos responde simplemente a una cuestión de gustos personales. 


1.5. Notación Algorítmica 

En este libro se describen diversos algoritmos de interés en Criptografia. La no¬ 
tación empleada en ellos es muy similar a la dei lenguaje de programación C, con 
objeto de que sea accesible al mayor número de personas posible. Si usted no conoce 
este lenguaje, siempre puede acudir a cualquier tutorial básico para poder entender 
los algoritmos de este libro, y después llevar a cabo sus propias implementaciones en 
cualquier otro lenguaje de programación. Sin embargo, aunque la notación que uso 
es parecida, no es exactamente la misma: allí donde el empleo de un C puro ponía 
en peligro la claridad en la descripción de los algoritmos, me he permitido pequenas 
licencias. Tampoco he tenido en cuenta ni mucho menos la eficiência de tiempo o me¬ 
mória para estos algoritmos, por lo que mi sincero consejo es que no intenten cortar y 
pegar para realizar sus propias implementaciones. 
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Capítulo 2 

Conceptos Básicos 

2.1. Criptografia 


Según el Diccionario de la Real Academia, la palabra criptografia proviene de la 
unión de los términos griegos Kpvnróç (oculto) y ypáipeu' (escritura), y su definición 
es: "Arte de escribir con clave secreta o de un modo enigmático". Obviamente la Cripto¬ 
grafia hace anos que dejó de ser un arte para convertirse en una técnica, o más bien 
un conglomerado de técnicas, que tratan sobre la protección —ocultamiento frente 
a observadores no autorizados— de la información. Entre las disciplinas que englo¬ 
ba cabe destacar la Teoria de la Información, la Teoria de Números —o Matemática 
Discreta, que estudia las propiedades de los números enteros—, y la Complejidad 
Algorítmica. 

Existen dos trabajos fundamentales sobre los que se apoya prácticamente toda la 
teoria criptográfica actual. Uno de ellos, desarrollado por Claude Shannon en sus ar¬ 
tículos "A Mathematical Theory of Communication" (1948) y "Communication Theory of 
Secrecy Systems" (1949), sienta las bases de la Teoria de la Información y de la Crip¬ 
tografia moderna. El segundo, publicado por Whitfield Diffie y Martin Hellman en 
1976, se titulaba " New directions in Cryptography" , e introducía el concepto de Cripto¬ 
grafia Asimétrica, abriendo enormemente el abanico de aplicación de esta disciplina. 

Conviene hacer notar que la palabra Criptografia sólo hace referencia al uso de 
códigos, por lo que no engloba a las técnicas que se usan para romper dichos códigos, 
conocidas en su conjunto como Criptoanálisis. En cualquier caso ambas disciplinas 
están íntimamente ligadas; no olvidemos que cuando se disena un sistema para cifrar 
información, hay que tener muy presente su posible criptoanálisis, ya que en caso 
contrario podríamos llevarnos desagradables sorpresas. 


Manuel J. Lucena López 


Criptografia y Seguridad en Computadores 



32 


2. Conceptos Básicos 


Finalmente, el término Criptología, aunque no está recogido aún en el Diccionario, 
se emplea habitualmente para agrupar Criptografia y Criptoanálisis. 


2.2. Criptosistema 

Definiremos un criptosistema como una quíntupla (M, C. K, E, D), donde: 

■ M representa el conjunto de todos los mensajes sin cifrar (lo que se denomina 
texto claro, o plaintext ) que pueden ser enviados. 

■ C representa el conjunto de todos los posibles mensajes cifrados, o criptogra- 
mas. 

■ K representa el conjunto de claves que se pueden emplear en el criptosistema. 

■ D es el conjunto de transformaciones de cifrado o familia de funciones que se aplica 
a cada elemento de M para obtener un elemento de C. Existe una transforma- 
ción diferente Ek para cada valor posible de la clave k. 

■ D es el conjunto de transformaciones de descifrado, análogo a E. 

Todo criptosistema ha de cumplir la siguiente condición: 

D k (E k (m )) = m (2.1) 

es decir, que si tenemos un mensaje m, lo ciframos empleando la clave k y luego lo 
desciframos empleando la misma clave, obtenemos de nuevo el mensaje original m. 

Existen dos tipos fundamentales de criptosistemas: 

■ Criptosistemas simétricos o de clave privada. Son aquellos que emplean la misma 
clave k tanto para cifrar como para descifrar. Presentan el inconveniente de que 
para ser empleados en comunicaciones la clave k debe estar tanto en el emisor 
como en el receptor, lo cual nos lleva preguntarnos cómo transmitir la clave de 
forma segura. 

■ Criptosistemas asimétricos o de llave pública, que emplean una doble clave (k p . kp). 
k p se conoce como clave privada y kp se conoce como clave pública. Una de ellas 
sirve para la transformación E de cifrado y la otra para la transformación D 
de descifrado. En muchos casos son intercambiables, esto es, si empleamos una 
para cifrar la otra sirve para descifrar y viceversa. Estos criptosistemas deben 
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cumplir además que el conocimiento de la clave pública kp no permita calcu¬ 
lar la clave privada k p . Ofrecen un abanico superior de posibilidades, pudien- 
do emplearse para establecer comunicaciones seguras por canales inseguros — 
puesto que únicamente viaja por el canal la clave pública—> o para llevar a cabo 
autentificaciones. 


En la práctica se emplea una combinación de estos dos tipos de criptosistemas, 
puesto que los segundos presentan el inconveniente de ser computacionalmente mu- 
cho más costosos que los primeros. En el mundo real se codifican los mensajes (largos) 
mediante algoritmos simétricos, que suelen ser muy eficientes, y luego se hace uso 
de la criptografia asimétrica para codificar las claves simétricas (cortas). 


Claves Débiles 


En la inmensa mayoría de los casos los conjuntos M y C definidos anteriormente 
son iguales. Esto quiere decir que tanto los textos claros como los textos cifrados se 
representan empleando el mismo alfabeto —por ejemplo, cuando se usa el algorit¬ 
mo DES, ambos son cadenas de 64 bits—. Por esta razón puede darse la posibilidad 
de que exista algún k G K tal que E k (M) = M, lo cual seria catastrófico para nues- 
tros propósitos, puesto que el empleo de esas claves dejaría todos nuestros mensa¬ 
jes. .. jsin codificar! 

También puede darse el caso de que ciertas claves concretas generen textos ci¬ 
frados de poca calidad. Una posibilidad bastante común en ciertos algoritmos es que 
algunas claves tengan la siguiente propiedad: E k (E k (M)) = M, lo cual quiere decir 
que basta con volver a codificar el criptograma para recuperar el texto claro original. 
Estas circunstancias podrían llegar a simplificar enormemente un intento de violar 
nuestro sistema, por lo que también habrá que evitarias a toda costa. 

La existência de claves con estas características, como es natural, depende en gran 
medida de las peculiaridades de cada algoritmo en concreto, y en muchos casos tam¬ 
bién de los parâmetros escogidos a la hora de aplicarlo. Llamaremos en general a 
las claves que no codifican correctamente los mensajes claves débiles (zveak keys en in¬ 
glês). Normalmente en un buen criptosistema la cantidad de claves débiles es cero o 
muy pequena en comparación con el número total de claves posibles. No obstante, 
conviene conocer esta circunstancia para poder evitar en la medida de lo posible sus 
consecuencias. 
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2.3. Esteganografía 


La esteganografía —o empleo de canales subliminales — consiste en ocultar en el in¬ 
terior de una información, aparentemente inócua, otro tipo de información (cifrada o 
no). Este método ha cobrado bastante importância últimamente debido a que permite 
burlar diferentes sistemas de control. Supongamos que un disidente político quiere 
enviar un mensaje fuera de su país, evitando la censura. Si lo codifica, las autoridades 
jamás permitirán que el mensaje atraviese las fronteras independientemente de que 
puedan acceder a su contenido, mientras que si ese mismo mensaje viaja camuflado 
en el interior de una imagen digital para una inocente felicitación navidena, tendrá 
muchas más posibilidades de llegar a su destino. 


2.4. Criptoanálisis 


El criptoanálisis consiste en comprometer la seguridad de un criptosistema. Esto se 
puede hacer descifrando un mensaje sin conocer la llave, o bien obteniendo a partir 
de uno o más criptogramas la clave que ha sido empleada en su codificación. No se 
considera criptoanálisis el descubrimiento de un algoritmo secreto de cifrado; hemos 
de suponer por el contrario que los algoritmos siempre son conocidos. 

En general el criptoanálisis se suele llevar a cabo estudiando grandes cantidades 
de pares mensaje-criptograma generados con la misma clave. El mecanismo que se 
emplee para obtenerlos es indiferente, y puede ser resultado de escuchar un canal de 
comunicaciones, o de la posibilidad de que el objeto de nuestro ataque responda con 
un criptograma cuando le enviemos un mensaje. Obviamente, cuanto mayor sea la 
cantidad de pares, más probabilidades de êxito tendrá el criptoanálisis. 

Uno de los tipos de análisis más interesantes es el de texto claro escogido, que parte 
de que conocemos una serie de pares de textos claros —elegidos por nosotros— y sus 
criptogramas correspondientes. Esta situación se suele dar cuando tenemos acceso al 
dispositivo de cifrado y éste nos permite efectuar operaciones, pero no nos permite 
leer su clave —por ejemplo, las tarjetas de los teléfonos móviles GSM—. El número de 
pares necesarios para obtener la clave desciende entonces significativamente. Cuan¬ 
do el sistema es débil, pueden ser suficientes unos cientos de mensajes para obtener 
información que permita deducir la clave empleada. 

También podemos tratar de criptoanalizar un sistema aplicando el algoritmo de 
descifrado, con todas y cada una de las claves, a un mensaje codificado que posee- 
mos y comprobar cuáles de las salidas que se obtienen tienen sentido como posible 
texto claro. En general, todas las técnicas que buscan exhaustivamente por el espacio 
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de claves K se denominan defuerza bruta, y no suelen considerarse como autênticas 
técnicas de criptoanálisis, reservándose este término para aquellos mecanismos que 
explotan posibles debilidades intrínsecas en el algoritmo de cifrado. En general, se 
denomina ataque a cualquier técnica que permita recuperar un mensaje cifrado em- 
pleando menos esfuerzo computacional que el que se usaria por la fuerza bruta. Se da 
por supuesto que el espacio de claves para cualquier criptosistema digno de interés 
ha de ser suficientemente grande como para que los métodos basados en la fuer¬ 
za bruta sean inviables. Hemos de tener en cuenta no obstante que la capacidad de 
cálculo de las computadoras crece a gran velocidad, por lo que algoritmos que hace 
unos anos eran resistentes a la fuerza bruta hoy pueden resultar inseguros, como es el 
caso de DES. Sin embargo, existen longitudes de clave para las que resultaria imposi- 
ble a todas luces, empleando computación tradicional, aplicar un método de este tipo. 
Por ejemplo, si disenáramos una máquina capaz de recorrer todas las combinaciones 
que pueden tomar 256 bits, cuyo consumo fuera mínimo en cada cambio de estado 1 , 
no habría energia suficiente en el Universo para que pudiera completar su trabajo. 

Un par de métodos de criptoanálisis que han dado interesantes resultados son el 
análisis diferencial y el análisis lineal (ver sección 10.7, página 163). El primero de ellos, 
partiendo de pares de mensajes con diferencias mínimas —usualmente de un bit—, 
estudia las variaciones que existen entre los mensajes cifrados correspondientes, tra¬ 
tando de identificar patrones comunes. El segundo emplea operaciones XOR entre 
algunos bits dei texto claro y algunos bits dei texto cifrado, obteniendo finalmente 
un único bit. Si realizamos esto con muchos pares de texto claro-texto cifrado pode¬ 
mos obtener una probabilidad p en ese bit que calculamos. Si p está suficientemente 
sesgada (no se aproxima a |), tendremos la posibilidad de recuperar la clave. 

Otro tipo de análisis, esta vez para los algoritmos asimétricos, consistiría en tra¬ 
tar de deducir la llave privada a partir de la pública. Suelen ser técnicas analíticas 
que básicamente intentan resolver los problemas de elevado coste computacional en 
los que se apoyan estos criptosistemas: factorización, logaritmos discretos, etc. Mien- 
tras estos problemas genéricos permanezcan sin solución eficiente, podremos seguir 
confiando en estos algoritmos. 

La Criptografia no sólo se emplea para proteger información, también se utiliza 
para permitir su autentificación, es decir, para identificar al autor de un mensaje e 
impedir que nadie suplante su personalidad. En estos casos surge un nuevo tipo de 
criptoanálisis que está encaminado únicamente a permitir que elementos falsos pa- 
sen por buenos. Puede que ni siquiera nos interese descifrar el mensaje original, sino 
simplemente poder sustituirlo por otro falso y que supere las pruebas de autentifica¬ 
ción. 


'Según las Leyes de la Termodinâmica existe una cantidad mínima de energia necesaria para poder 
modificar el estado de un sistema físico. 
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Como se puede apreciar, la gran variedad de sistemas criptográficos produce ne- 
cesariamente gran variedad de técnicas de criptoanálisis, cada una de ellas adaptada 
a un algoritmo o familia de ellos. Con toda seguridad, cuando en el futuro aparez- 
can nuevos mecanismos de protección de la información, surgirán con ellos nuevos 
métodos de criptoanálisis. De hecho, la investigación en este campo es tan importan¬ 
te como el desarrollo de algoritmos criptográficos, y esto es debido a que, mientras 
que la presencia de fallos en un sistema es posible demostraria, su ausência es por 
definición indemostrable. 


2.5. Compromiso entre Criptosistema y Criptoanálisis 


En la sección 3.5 (pág. 49) veremos que pueden existir sistemas idealmente se¬ 
guros, capaces de resistir cualquier ataque. También veremos que estos sistemas en 
la práctica carecen de interés, lo cual nos lleva a tener que adoptar un compromiso 
entre el coste dei sistema —tanto computacional como de almacenamiento, e incluso 
económico — frente a su resistência a diferentes ataques criptográficos. 

La información posee un tiempo de vida, y pierde su valor transcurrido éste. Los 
datos sobre la estratégia de inversiones a largo plazo de una gran empresa, por ejem- 
plo, tienen un mayor período de validez que la exclusiva periodística de una senten¬ 
cia judicial que se va a hacer pública al día siguiente. Será suficiente, pues, tener un 
sistema que garantice que el tiempo que se puede tardar en comprometer su seguri¬ 
dad es mayor que el tiempo de vida de la propia información que éste alberga. Esto 
no suele ser fácil, sobre todo porque no tardará lo mismo un oponente que disponga 
de una única computadora de capacidad modesta, que otro que emplee una red de 
supercomputadores. Por eso también ha de tenerse en cuenta si la información que 
queremos proteger vale más que el esfuerzo de criptoanálisis que va a necesitar, por¬ 
que entonces puede que no esté segura. La seguridad de los criptosistemas se suele 
medir en términos dei número de computadoras y dei tiempo necesarios para rom- 
perlos, y a veces simplemente en función dei dinero necesario para llevar a cabo esta 
tarea con garantias de êxito. 

En cualquier caso hoy por hoy existen sistemas que son muy poco costosos —o 
incluso gratuitos, como algunas versiones de PGP—, y que nos garantizan un nivel 
de protección tal que toda la potência de cálculo que actualmente hay en el planeta 
seria insuficiente para romperlos. 

Tampoco conviene depositar excesiva confianza en el algoritmo de cifrado, pues- 
to que en el proceso de protección de la información existen otros puntos débiles que 
deben ser tratados con un cuidado exquisito. Por ejemplo, no tiene sentido emplear 
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algoritmos con niveles de seguridad extremadamente elevados si luego escogemos 
contrasenas ( passwords ) ridiculamente fáciles de adivinar. Una práctica muy exten- 
dida por desgracia es la de escoger palabras clave que contengan fechas, nombres 
de familiares, nombres de personajes o lugares de ficción, etc. Son las primeras que 
un atacante avispado probaría. Tampoco es una práctica recomendable anotarias o 
decírselas a nadie, puesto que si la clave cae en malas manos, todo nuestro sistema 
queda comprometido, por buenos que sean los algoritmos empleados. 


2.6. Seguridad en Sistemas Informáticos 

Todo sistema que procese, almacene o transmita información tiene que cumplir 
una serie de requisitos. En primer lugar, ha de preservar la información frente a al- 
teraciones tanto fortuitas como deliberadas, debidas a fallos en el software o en el 
hardware, provocadas por agentes externos —incêndios, interrupciones en el suminis- 
tro eléctrico, etc.— o por los propios usuários. En segundo lugar, es necesario evitar 
accesos no autorizados tanto al sistema como a su contenido. Finalmente, el siste¬ 
ma debe garantizar que la información esté disponible cuando sea necesario. Estos 
tres requerimientos quedan recogidos en los conceptos de integridad, confidencialidad 
y disponibilidad de la información respectivamente, y son los que hacen que podamos 
considerar seguro a un sistema. 

Por lo tanto, garantizar la seguridad de un sistema informático es un objetivo mu- 
cho más amplio y complejo que la simple protección de los datos mediante técnicas 
criptográficas. De hecho, hemos de tener en cuenta múltiples factores, tanto inter¬ 
nos como externos. En esta sección comentaremos algunos de los más relevantes, de 
manera no exhaustiva. 

Quizás la primera pregunta que haya que responder a la hora de identificar los 
requerimientos de seguridad de un sistema sea la siguiente: lestá conectado con el ex¬ 
terior? En este sentido podemos hacer la siguiente subdivisión: 

1. Sistemas aislados. Son los que no tienen acceso a ningún tipo de red. De unos 
anos a esta parte se han convertido en minoria, debido al auge que han expe¬ 
rimentado las redes, especialmente Internet. En ellos suele ser suficiente la im- 
plementación de mecanismos de control de acceso físico —cerraduras, videovi- 
gilancia, etc.—, junto con protocolos adecuados de gestión de los privilégios de 
cada usuário, si es que hay más de uno. 

2. Sistemas interconectados. Constituyen el caso más general y extendido. De hecho, 
hoy por hoy casi cualquier ordenador está conectado a alguna red —y cada vez 
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más dispositivos de uso cotidiano son autênticas computadoras: consolas de vi- 
deojuegos, teléfonos celulares, reproductores multimedia, etc.—, enviando y re- 
cogiendo información dei exterior casi constantemente. Esto hace que las redes 
de ordenadores sean cada día más complejas, y presenten autênticos desafios 
de cara a gestionários adecuadamente. 

En cuanto a las cuestiones de seguridad propiamente dichas, citaremos algunas 
de las más relevantes: 

1. Seguridad física. Englobaremos dentro de esta categoria a todos los asuntos re¬ 
lacionados con la salvaguarda de los soportes físicos de la información, más 
que de la información propiamente dicha. En este nivel estarían, entre otras, 
las medidas contra incêndios y sobrecargas eléctricas, la prevención de ataques 
terroristas, las políticas de copias de respaldo ( backups ), etc. También se suelen 
tener en cuenta dentro de este punto aspectos relacionados con la restricción 
dei acceso físico a las computadoras. 

2. Seguridad de los canales de comunicación. Los canales de comunicación rara vez se 
consideran seguros. Debido a que normalmente escapan a nuestro control, ya 
que pertenecen a terceros, resulta imposible asegurarse de que no están siendo 
escuchados o intervenidos. En la inmensa mayoría de los casos tendremos que 
establecer mecanismos de protección de la información capaces de cumplir su 
cometido en canales manipulados, e incluso hostiles. 

3. Control de acceso a los datos. Como ya hemos dicho, un sistema informático debe 
permitir acceder a la información únicamente a agentes autorizados. General¬ 
mente, diferentes usuários tendrán acceso a distinta información, por lo que 
una simple restricción dei acceso al sistema no será suficiente, sino que habrá 
que establecer privilégios individualizados, así como mecanismos que, como el 
cifrado, permitan preservar la confidencialidad incluso frente a accesos físicos 
a los dispositivos de almacenamiento. 

4. Autentificación. Para garantizar su correcto funcionamiento, es necesario poder 
verificar de forma fiable la autenticidad de los distintos elementos que interac- 
túan en un sistema informático: la información que se recibe, envia y almacena, 
los usuários que acceden a él, y eventualmente los dispositivos que se comuni- 
can con el mismo. En los dos últimos casos, hemos de evitar a toda costa que se 
produzcan problemas de suplantación de identidad. 

5. No repudio. Cuando se recibe un mensaje no sólo es necesario poder identificar 
de forma unívoca al remitente, sino que éste asuma todas las responsabilidades 
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derivadas de la información que haya podido enviar, por ejemplo en la firma 
de un contrato o en una transacción comercial. En este sentido es fundamental 
impedir que el emisor pueda repudiar un mensaje, es decir, negar su autoria 
sobre el mismo. 

6. Anonimato. Es, en cierta manera, el concepto opuesto al de no repudio. En de¬ 
terminadas aplicaciones, como puede ser un proceso electoral o la denuncia 
de violaciones de los derechos humanos en entornos dictatoriales, es crucial 
garantizar el anonimato dei ciudadano para poder preservar su intimidad y su 
libertad. Sin embargo, el anonimato también puede ser empleado para practicar 
actividades delictivas con total impunidad, lo cual lo convierte en una autêntica 
arma de doble filo. En cualquier caso, se trata una característica realmente difícil 
de conseguir, y que no goza de muy buena fama, especialmente en países donde 
prima la seguridad nacional sobre la libertad y la intimidad de los ciudadanos. Si 
a eso le sumamos el interés que para muchas empresas tiene conocer los perfiles 
de actividad de sus clientes, de cara a personalizar sus ofertas, entenderemos 
por quê apenas hay iniciativas serias en la industria para proporcionar servicios 
de este tipo. 


2.6.1. Tipos de Autentificación 

Como ya se ha dicho, el concepto de autentificación viene asociado a la compro- 
bación dei origen de la información, y de la identidad de los agentes que interactúan 
con un sistema. En general, y debido a los diferentes escenarios que pueden darse, 
distinguiremos tres tipos de autentificación: 


■ Autentificación de mensaje. Queremos garantizar la procedência de un mensa¬ 
je conocido, de forma que podamos asegurarnos de que no es una falsificación. 
Este proceso es el que subyace en las firmas digitales, o en los sistemas de creden- 
ciales a través de los cuales ciertos elementos de una red se identifican frente a 
otros. 

■ Autentificación de usuário mediante contrasena. En este caso se trata de garantizar 
la presencia física de un usuário legal en algún punto dei sistema. Para ello 
deberá hacer uso de una información secreta —o contrasena —, que le permita 
identificarse. 

■ Autentificación de dispositivo. Se trata de garantizar la presencia frente al sistema 
de un dispositivo concreto. Este dispositivo puede ser autónomo e identificarse 
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por sí mismo para interactuar con el sistema, o tratarse de una llave electróni¬ 
ca que sustituya o complemente a la contrasena para facilitar la entrada a un 
usuário. 

Nótese que la autentificación de usuário por medio de alguna característica bio- 
métrica, como pueden ser las huellas digitales, la retina, el iris, la voz, etc. puede 
reducirse a un problema de autentificación de dispositivo, solo que el dispositivo en 
este caso es el propio usuário. 
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Capítulo 3 

Teoria de la Información 


Comenzaremos el estúdio de los fundamentos teóricos de la Criptografia dando 
una serie de nociones básicas sobre Teoria de la Información, introducida por Claude 
Shannon a finales de los anos cuarenta. Esta disciplina permite efectuar una aproxi- 
mación formal al estúdio de la seguridad de cualquier algoritmo criptográfico, pro¬ 
porcionando incluso la demostración de que existen sistemas invulnerables frente a 
cualquier tipo de ataque, incluso disponiendo de capacidad de computación infinita. 


3.1. Cantidad de Información 


Vamos a introducir este concepto partiendo de su idea intuitiva. Para ello anali- 
zaremos el siguiente ejemplo: supongamos que tenemos una bolsa con nueve bolas 
negras y una blanca. ^Cuánta información obtenemos si alguien nos dice que ha sa¬ 
cado una bola blanca de la bolsa? í Y cuánta obtenemos si después saca otra y nos 
dice que es negra? 

Obviamente, la respuesta a la primera pregunta es que aporta bastante informa¬ 
ción, puesto que estábamos casi seguros de que la bola tenía que salir negra. Análoga¬ 
mente si hubiera salido negra diríamos que ese suceso no nos extrana (nos suministra 
poca información). En cuanto a la segunda pregunta, claramente podemos contestar 
que el suceso no proporciona ninguna información, ya que al no quedar bolas blancas 
sabíamos que iba a salir negra. 

Podemos fijarnos en la cantidad de información como una medida de la disminu- 
ción de incertidumbre acerca de un suceso. Por ejemplo, si nos dicen que el número 
que ha salido en un dado es menor que dos, estamos recibiendo más información que 
si nos dicen que el número que ha salido es par. 
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Intuitivamente, se puede decir que la cantidad de información que obtenemos 
al observar un suceso crece cuando el número de posibilidades que éste presenta es 
mayor. Si existen diez posibilidades, la observación nos proporciona más información 
que si inicialmente tuviéramos dos. Por ejemplo, supone mayor información conocer 
la combinación ganadora dei próximo sorteo de la Loteria Primitiva, que saber si una 
moneda lanzada al aire va a caer con la cara o la cruz hacia arriba. Claramente es más 
fácil acertar en el segundo caso, puesto que el número de posibilidades a priori —y 
por tanto la incertidumbre, suponiendo sucesos equiprobables— es menor. 

También la cantidad de información es proporcional a la probabilidad de un su¬ 
ceso. En el caso de las bolas pueden pasar dos cosas: sacar bola negra, que es más 
probable, y sacar bola blanca, que es menos probable. Sacar una bola negra aumenta 
nuestro grado de certeza inicial de un 90 % a un 100 %, proporcionándonos una ganan- 
cia dei 10 %. Sacar una bola blanca aumenta esa misma certeza en un 90 % —puesto 
que partimos de un 10 %—. Podemos considerar la disminución de incertidumbre 
proporcional al aumento de certeza, por lo cual diremos que el primer suceso —sacar 
bola negra — aporta menos información. 

A partir de ahora, con objeto de simplificar la notación, vamos a emplear una 
variable aleatória V para representar los posibles sucesos que podemos encontrar. 
Notaremos el suceso i-ésimo como x t , P(xí ) será la probabilidad asociada a dicho 
suceso, y n será el número de sucesos posibles. 

Supongamos ahora que sabemos con toda seguridad que el único valor que pue¬ 
de tomar V es x t . Saber el valor de V no va a aportar ninguna información, ya que 
lo conocemos de antemano. Por el contrario, si tenemos una certeza dei 99 % sobre la 
posible ocurrencia de un valor cualquiera x ir el hecho de obtener un x 3 diferente pro¬ 
porciona bastante información, como ya hemos visto. Este concepto de información 
es cuantificable y se puede definir de la siguiente forma: 


li = log 2 (P(xí)) 


(3.1) 


siendo P{xí) la probabilidad dei estado x*. Obsérvese que si la probabilidad de un 
estado fuera 1 (máxima), la cantidad de información que aporta seria igual a 0, mien- 
tras que si su probabilidad se acercara a 0, tendería a +oo —esto es lógico, un suceso 
que no puede suceder nos aportaria una cantidad infinita de información si llegara a 
ocurrir—. 
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3.2. Entropia 


Efectuando una suma ponderada de las cantidades de información de todos los 
posibles estados de una variable aleatória V, obtenemos: 


H(V) 


Y P(Xi) log 2 [P(Xi)} = Y P ( X i) lo S2 


(3.2) 


Esta magnitud H(V) se conoce como la entropia de la variable aleatória V. Sus 
propiedades son las siguientes: 


I. 0 < H( V) < log 2 N 

II. H{y) = 0 «£=>■ 3 i tal que P(xi) — 1 y P(xj) = 0 Vj ^ i 

III. H(x i, x 2 ■ ■ ■ x n ) = H(x i,x 2 ...x n , x n+ i) si P(x n+ 1 ) = 0 


Como ejercicio vamos a demostrar la propiedad (i). Para ello emplearemos el Lema 
de Gibbs, que dice que dados dos sistemas de números pi,... p n y qi,... q n no negati¬ 
vos tales que 

n n 

Ypí = Yqí 

2=1 2=1 

se verifica que 


n n 

- Y Pi 1o §2 (Pi) < - Y Pi 1o §2 (ft) 
2=1 2=1 


Entonces, si tomamos pi = P(xí) y g* = resulta que 


(3.3) 


y por lo tanto 


n 

-Y pilog ^ pi ^ - 
2=1 


n 

Y Pi l0g 2 
2=1 



H{X) < - log 2 



l°g 2 (iV) 
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Obsérvese que la entropia es proporcional a la longitud media de los mensajes que 
se necesitaría para codificar una serie de valores de V de manera óptima dado un al¬ 
fabeto cualquiera. Esto quiere decir que cuanto más probable sea un valor individual, 
aportará menos información cuando aparezca, y podremos codificado empleando un 
mensaje más corto. Si P(xí) = 1 no necesitaríamos ningún mensaje, puesto que sabe¬ 
mos de antemano que V va a tomar el valor x l/ mientras que si P(x,) = 0,9 parece 
más lógico emplear mensajes cortos para representar el suceso Xi y largos para los x 3 
restantes, ya que el valor que más veces va a aparecer en una secuencia de sucesos es 
precisamente x t . Volveremos sobre este punto un poco más adelante. 

Veamos unos cuantos ejemplos más: 

■ La entropia de la variable aleatória asociada a lanzar una moneda al aire es la 
siguiente: 

H(M) = -(0,5 log 2 (0,5) + 0,5 log 2 (0,5)) = 1 

Este suceso aporta exactamente una unidad de información. 

■ Si la moneda está trucada (60 % de probabilidades para cara, 40 % para cruz), se 
obtiene: 

H(M t ) = — (0,61og 2 (0,6) + 0,4 log 2 (0,4)) = 0,970 

■ Veamos el ejemplo de las bolas (nueve negras y una blanca): 

H(B) = —(0,9 log 2 (0,9) + 0,1 log 2 (0,l)) = 0,468 

La cantidad de información asociada al suceso más simple, que consta únicamente 
de dos posibilidades equiprobables —como el caso de la moneda sin trucar—, será 
nuestra unidad a la hora de medir esta magnitud, y la denominaremos bit. Esta es 
precisamente la razón por la que empleamos logaritmos base 2, para que la cantidad 
de información dei suceso más simple sea igual a la unidad. 

Podemos decir que la entropia de una variable aleatória es el número medio de 
bits que necesitaremos para codificar cada uno de los estados de la variable, supo- 
niendo que expresemos cada suceso empleando un mensaje escrito en un alfabeto bi¬ 
nário. Imaginemos ahora que queremos representar los diez dígitos decimales usan¬ 
do secuencias de bits: con tres bits no tenemos suficiente, así que necesitaremos más, 
pero <:cuántos más? Si usamos cuatro bits para representar todos los dígitos tal vez 
nos esternos pasando... Veamos cuánta entropia tienen diez sucesos equiprobables: 
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El valor que acabamos de calcular es el limite teórico, que normalmente no se 
puede alcanzar. Lo único que podemos decir es que no existe ninguna codificación 
que emplee longitudes promedio de mensaje inferiores al número que acabamos de 
calcular. Veamos la siguiente codificación: 000 para 0, 001 para 1, 010 para 2, 011 para 
3,100 para 4,101 para 5,1100 para 6,1101 para 7,1110 para 8, y 1111 para 9. Con esta 
codificación empleamos, como media 


3 • 6 + 4 • 4 

1Õ 


3,4 bits 


para representar cada mensaje. Nótese que este esquema permite codificar una se- 
cuencia de números por simple yuxtaposición, sin ambigüedades, por lo que no ne- 
cesitaremos símbolos que actúen de separadores, ya que éstos alargarían la longitud 
media de los mensajes. El denominado Método de Huffman, uno de los más utilizados 
en transmisión de datos, permite obtener codificaciones binarias que se aproximan 
bastante al óptimo teórico de una forma sencilla y eficiente. 


3.3. Entropia Condicionada 

Supongamos que tenemos ahora una variable aleatória bidimensional (X, Y). Re¬ 
cordemos las distribuciones de probabilidad más usuales que podemos definir sobre 
dicha variable, teniendo n posibles casos para A" y m para Y: 

1. Distribución conjunta de (A", Y): 




2. Distribuciones marginales de A" e Y: 


P(xi) = P ( Xi ’ Vi) p (yj) = P ( Xi ’ y i) 

j =1 i= 1 

3. Distribuciones condicionales de X sobre Y y viceversa: 


p/ / \ p (xi,Vj) , , P{xiiVj) 

P(xi/yj) = D , r PiVi/Xi) = 


P{Vi 


P(Xi 


Definiremos la entropia de las distribuciones que acabamos de referir: 
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H(X,Y) = -EE P{xi,Vj) log 2 (P(xi,yj)) 

i= 1 i=l 

n 

H(X/Y = Vj ) = ~Y^ P{xi/yj) log 2 ( P(xi/yj )) 

1=1 

Haciendo la suma ponderada de los H(X/Y = yf) obtenemos la expresión de la 
Entropia Condicionada de X sobre Y: 


h(x/y) = = 

i=i j =i 

n m 

= -J2J2 p ( Xi ’ y ^ lo &( p ( Xi / y ^ ( 3 - 4 ^ 

i=i j =i 

Así como existe una Lei/ de la Probabilidad Total, análogamente se define la Ley de 
Entropias Totales: 


H(X, Y) = H(X ) + HiY/X ) (3.5) 

cumpliéndose además, si X e Y son variables independientes: 

H(X, Y) = H(X) + H(Y ) (3.6) 

Teorema de Disminución de la Entropia: La entropia de una variable A" condicionada 
por otra Y es menor o igual a la entropia de X, alcanzándose la igualdad si y sólo si 
las variables X e Y son independientes. 

Este teorema representa una idea intuitiva bien clara: conocer algo acerca de la 
variable Y puede que nos ayude a saber más sobre X — lo cual se debería traducir 
en una reducción de su entropia—> pero en ningún caso podrá hacer que aumente 
nuestra incertidumbre. 


3.4. Cantidad de Información entre dos Variables 

Shannon propuso una medida para la cantidad de información que aporta sobre 
una variable el conocimiento de otra. Se definirá, pues, la cantidad de información de 
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Shannon que la variable X contiene sobre Y como: 

I(X, Y) = H(Y) - H(Y/X) (3.7) 

La explicación intuitiva de esta magnitud es la siguiente. Inicialmente, nosotros 
poseemos un grado determinado de incertidumbre sobre la variable aleatória Y. Si 
antes de medir una realización concreta de Y, medimos la de otra variable X, parece 
lógico que nuestra incertidumbre sobre Y se reduzca o permanezca igual. Por ejem- 
plo, supongamos que Y representa la situación meteorológica (lluvia, sol, viento, nie- 
ve, etc.), mientras que X representa el atuendo de una persona que entra en nuestra 
misma habitación. Inicialmente tendremos un nivel determinado de entropia sobre 
Y. Si, acto seguido, la citada persona aparece con un paraguas mojado, seguramente 
para nosotros aumentará la probabilidad para el valor lluvia de Y, modificando su 
entropia. Esa disminución —o no— de entropia es precisamente lo que mide I(X, Y). 

Las propiedades de la cantidad de información entre dos variables son las siguien- 
tes: 

I. I(X,Y)=I(Y,X) 

II. I(X, Y) > 0 

3.5. Criptosistema Seguro de Shannon 

Diremos que un criptosistema es seguro si la cantidad de información que apor¬ 
ta el hecho de conocer el mensaje cifrado c sobre la entropia dei texto claro rn vale 
cero. En concreto, consideraremos una variable aleatória C, compuesta por todos los 
criptogramas posibles, y cuya observación corresponderá el valor concreto c dei crip- 
tograma enviado, y otra variable M, definida análogamente para los textos en claro 
m. En ese caso, tendremos que: 


I(C, M) — 0 (3.8) 

Esto significa sencillamente que la distribución de probabilidad que nos inducen 
todos los posibles mensajes en claro —el conjunto M — no cambia si conocemos el 
mensaje cifrado. Para entenderlo mejor supongamos que si se modifica dicha distri¬ 
bución: El hecho de conocer un mensaje cifrado, al variar la distribución de probabi¬ 
lidad sobre M haría unos mensajes más probables que otros, y por consiguiente unas 
claves de cifrado más probables que otras. Repitiendo esta operación muchas veces 
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con mensajes diferentes, cifrados con la misma clave, podríamos ir modificando la 
distribución de probabilidad sobre la clave empleada hasta obtener un valor de clave 
mucho más probable que todos los demás, permitiéndonos romper el criptosistema. 

Si por el contrario el sistema cumpliera la condición (3.8), jamás podríamos rom- 
perlo, ni siquiera empleando una máquina con capacidad de proceso infinita. Por 
ello los criptosistemas que cumplen la condición de Shannon se denominan también 
criptosistemas ideales. 

Se puede demostrar también que para que un sistema sea criptoseguro según el 
critério de Shannon, la cardinalidad dei espacio de claves ha de ser al menos igual que 
la dei espacio de mensajes. En otras palabras, que la clave ha de ser al menos tan larga 
como el mensaje que queramos cifrar. Esto vuelve inútiles a estos criptosistemas en la 
práctica, porque si la clave es tanto o más larga que el mensaje, a la hora de protegeria 
nos encontraremos con el mismo problema que teníamos para proteger el mensaje. 

Un ejemplo clásico de criptosistema seguro es el algoritmo inventado por Mau- 
borgne y Vernam en 1917, que consistia en emplear como clave de codificación una 
secuencia de letras tan larga como el mensaje original, y usar cada carácter de la cla¬ 
ve para cifrar exactamente una letra dei mensaje, haciendo la suma módulo 26. Este 
sistema dio lugar a las secuencias de un solo uso ( one-time pads): cadenas de longitud 
arbitraria que se combinan byte a byte con el mensaje original mediante la operación 
or-exclusivo u otra similar para obtener el criptograma. 


3.6. Redundância 

Si una persona lee un mensaje en el que faltan algunas letras, normalmente puede 
reconstruirlo. Esto ocurre porque casi todos los símbolos de un mensaje en lengua- 
je natural contienen información que se puede extraer de los símbolos de alrededor 
—información que, en la práctica, se está enviando dos o más veces —, o en otras pala¬ 
bras, porque el lenguaje natural es redundante. Puesto que tenemos mecanismos para 
definir la cantidad de información que presenta un suceso, podemos intentar medir 
el exceso de información (redundância) de un lenguaje. Para ello vamos a dar una 
serie de definiciones: 


índice de un lenguaje. Definiremos el índice de un lenguaje L para mensajes de 
longitud k como: 

(3.9) 

k 

siendo H k {M) la entropia de todos los mensajes de longitud k que tienen sen- 
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tido en L. Estamos midiendo el número de bits de información que transporta 
cada carácter en mensajes de una longitud determinada. Para idiomas como el 
Espanol, r k suele valer alrededor de 1,4 bits por letra para valores pequenos de 

k. 


■ índice absoluto de un lenguaje. Es el máximo número de bits de información que 
pueden ser codificados en cada carácter, asumiendo que todas las combinacio- 
nes de caracteres son igualmente probables. Suponiendo m símbolos diferentes 
en nuestro alfabeto este índice vale: 


R 


log 2 (rn k ) 
k 


k log 2 (yn) 
k 


l°g 2 (m) 


Nótese que el índice R es independiente de la longitud k de los mensajes. En el 
caso dei espanol, puesto que tenemos 27 símbolos, podríamos codificar 4,7 bits 
por cada letra aproximadamente, luego parece que el nivel de redundância de 
los lenguajes naturales es alto. 

■ Finalmente, la redundância de un lenguaje se define como la diferencia entre las 
dos magnitudes anteriores: 

D = R — r 

También se define el índice de redundância como el siguiente cociente: 


I = 


D 

R 


Desgraciadamente, para medir la autêntica redundância de un lenguaje, hemos de 
tener en cuenta secuencias de cualquier número de caracteres, por lo que la expresión 
(3.9) debería calcularse en realidad como: 


r 


OO 


lím 

n— kx) 


Hn(M) 

n 


(3.10) 


Hay principalmente dos aplicaciones fundamentales de la Teoria de la Informa- 
ción, relacionadas directamente con la redundância: 


■ Compresión de datos: simplemente trata de eliminar la redundância dentro de un 
archivo, considerando cada byte como un mensaje elemental, y codificándolo 
con más o menos bits según su frecuencia de aparición. En este sentido se trata 
de codificar exactamente la misma información que transporta el archivo origi¬ 
nal, pero empleando un número de bits lo más pequeno posible. 
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■ Códigos de Redundância Cíclica (CRC): permiten introducir un campo de longitud 
mínima en el mensaje, tal que éste proporcione la mayor redundância posible. 
Así, si el mensaje original resultase alterado, la probabilidad de que el CRC 
anadido siga siendo correcto es mínima. 

Nótese que, conocidos los patrones de redundância de un lenguaje, es posible dar 
de forma automática una estimación de si una cadena de símbolos corresponde o no a 
dicho lenguaje. Esta característica es aprovechada para efectuar ataques por la fuerza 
bruta, ya que ha de asignarse una probabilidad a cada clave individual en función de 
las características dei mensaje obtenido al decodificar el criptograma con dicha clave. 
El número de claves suele ser tan elevado que resulta imposible una inspección vi¬ 
sual. Una estratégia bastante interesante para protegerse contra este tipo de ataques, 
y que suele emplearse con frecuencia, consiste en comprimir los mensajes antes de 
codificados. De esa manera eliminamos la redundância y hacemos más difícil a un 
atacante apoyarse en las características dei mensaje original para recuperar la clave. 


3.7. Desinformación y Distancia de Unicidad 

Definiremos desinformación de un sistema criptográfico como la entropia condicio¬ 
nada dei conjunto M de posibles mensajes sobre el conjunto C de posibles criptogra- 
mas: 


H{M/C) = - EE P(c)P(m/c)log 2 (P(m/c )) (3.11) 

tnÉM CSC 

Esta expresión permite saber la incertidumbre que queda sobre cuál ha sido el 
mensaje enviado m, suponiendo que conocemos su criptograma asociado c. Si esa 
incertidumbre fuera la misma que teníamos cuando desconocíamos el valor de c —en 
cuyo caso se cumpliría que H(M) = H{M/C )—, nos encontraríamos con que C y 
M son variables estadísticamente independientes, y por lo tanto estaríamos frente 
a un criptosistema seguro de Shannon, ya que jamás podríamos disminuir nuestra 
incertidumbre acerca de m a partir de los valores de c. Lo habitual no obstante es que 
exista relación estadística entre C y M (a través dei espacio de claves K), por lo que 
H(M/C) < H(M). 

Adicionalmente, si el valor de H(M/C) fuera muy pequeno con respecto a H(M), 
significaria que el hecho de conocer c proporciona mucha información sobre m, lo 
cual quiere decir que nuestro criptosistema es inseguro. El peor de los casos seria 
que H(M/C) = 0, puesto que entonces, conociendo el valor de c tendríamos absoluta 
certeza sobre el valor de m. 
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Esta magnitud se puede medir también en función dei conjunto K de claves, y 
entonces representará la incertidumbre que nos queda sobre k conocida c: 

H(K/C ) = - EE P(c)P(k/c)log 2 (P(k/c )) (3.12) 

k&K c€C 

Definiremos finalmente la distancia de unicidad de un criptosistema como la lon- 
gitud mínima de mensaje cifrado que aproxima el valor H[KjC) a cero. En otras 
palabras, es la cantidad de texto cifrado que necesitamos para poder descubrir la 
clave. Los criptosistemas seguros de Shannon tienen distancia de unicidad infinita. 
Nuestro objetivo a la hora de disenar un sistema criptográfico será que la distancia 
de unicidad sea lo más grande posible. 


3.8. Confusión y Difusión 

Según la Teoria de Shannon, las dos técnicas básicas para ocultar la redundância 
en un texto claro son la confusión y la difusión. Estos conceptos, a pesar de su antigüe- 
dad, poseen una importância clave en Criptografia moderna. 

■ Confusión. Trata de ocultar la relación entre el texto claro y el texto cifrado. Re¬ 
cordemos que esa relación existe y se da a partir de la clave k empleada, puesto 
que si no existiera jamás podríamos descifrar los mensajes. El mecanismo más 
simple de confusión es la sustitución, que consiste en cambiar cada ocurrencia 
de un símbolo en el texto claro por otro. La sustitución puede ser tan simple o 
tan compleja como queramos. 

■ Difusión. Diluye la redundância dei texto claro repartiéndola a lo largo de todo el 
texto cifrado. El mecanismo más elemental para llevar a cabo una difusión es la 
transposición, que consiste en cambiar de sitio elementos individuales dei texto 
claro. 


3.9. Ejercicios Resueltos 

1. Calcule la información que proporciona el hecho de que en un dado no cargado 
salga un número par. 

Solución: La probabilidad de que en un dado no cargado salga un número par 
es \. Por lo tanto, empleando la expresión (3.1) tenemos que la información 
asociada al suceso vale: 
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Ipar log 2 



= 1 bit 


2. Calcule la entropia que tiene un dado que presenta doble probabilidad para el 
número tres que para el resto. 

Solución: El dado presenta la siguiente distribución de probabilidad: 


P(X = 3) = P(x í 3) = i 

Su entropia será, pues 

H(X) = ~ 2 - log 2 - 5 • l - log 2 ^ = 0,5163 + 2,0052 = 2,5215 

3. Demuestre el Lema de Gibbs, teniendo en cuenta la siguiente propiedad: 

Vx, x > 0 =>- log 2 (x) < x — 1 


Solución: Sea el cociente |c Puesto que tanto p, como q, son positivos, su cociente 
también lo será, luego 


log 2 (—') = !og 2 (Qí) ~ log 2 (Pi) < - - 1 
\PiJ Pi 

Multiplicando ambos miembros de la desigualdad por p, se tiene 

Pi log 2 (ft) - Pi log 2 (pi) < Qi - Pi 

Puesto que p t es positivo, se mantiene el sentido de la desigualdad. Ahora su- 
memos todas las desigualdades y obtendremos lo siguiente: 


n n n n 

Pi log 2 (qi) - ^Pi log 2 (pí) < X / (ii ~ P % = 0 
2=1 2=1 2=1 2=1 


Reorganizando los términos obtenemos finalmente la expresión buscada 


n n 

- Pi l0 §2 (Pi) < ~ Pi l0 §2 (Qi) 

2=1 2=1 
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4. Demuestre la Ley de Entropias Totales. 

Solución: Desarrollemos el valor de HÇY/X), según la expresión (3.4): 


H(Y/X) 


m n 

-££ P( x i, Vj) log 2 (P(y j /xi)) 
j =i i =i 


La Ley de la Probabilidad Total dice que 


P(X, Y ) = P(X) • P{Y/X) 

por lo que nuestra expresión se convierte en 


m n 

-££ PixtiVj) log 2 
j=i *=i 


/ P(Sj,2/jA 

V P{Xi) ) 


Descomponiendo el logaritmo dei cociente como la diferencia de logaritmos se 
obtiene 


m n 

-££ P( x i, Vj) [log 2 (P(xi,yj)) - log 2 (P(^))] 
j =i *=i 

Si desarrollamos la expresión anterior tenemos 


m n 

-££ ^(^,%)log 2 (P(xi,%)) 
i=i *=i 


££ ^(®i,í/i)log 2 (P(a:i)) 

.3 =1 *=1 


El primer sumando es igual a //(X, F). Observemos el último sumando: 


££ 3/j) log 2 (-P(zí)) 

-j=l »=1 

n 

= ^2^g 2 (P(Xi))P(Xi) 

_ 2=1 


n m 

lo s2 (p( x i)) p ( Xí ’ yj) 

-i =1 j=l 

~H(X) 


Luego H(Y/X ) = H(X,Y) — H(X). Reorganizando los términos, llegamos fi¬ 
nalmente a la expresión de la Ley de Entropias Totales: 


H(X,Y) = H(X) + H(Y/X) 
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5. Suponga un equipo de fútbol que nunca empata, que cuando no llueve vence el 
65 % de sus partidos, y que si llueve sólo gana el 35 % de las veces. La probabili- 
dad de que llueva en un partido es dei 15 %. ,;Cuál es la cantidad de información 
que aporta la variable aleatória lluvia sobre la variable ganar nn partido ? 

Solución: Sea G la variable aleatória que representa los partidos. Sea g s el suceso 
correspondiente a que el equipo gane el partido, y g n el suceso asociado a que 
lo pierda. Análogamente, definiremos la variable L, asociada a que llueva o no. 
Tendremos, pues: 


P(h) 


= 0,15 





P(ln) 


= 0,85 





P(g s ,l s ) 


= 0,35' 

0,15 

= 0,0525 



P(9s, ln) 


= 0,65' 

■0,85 

= 0,5525 



P(9n, ls) 


= 0,65' 

■0,15 

= 0,0975 



P(9n, ln) 


= 0,35' 

■0,85 

= 0,2975 



P(9s/L = 

ls) 

= 0,35 





P(g s /L = 

ln) 

= 0,65 





P(g n /L = 

ls) 

= 0,65 





P(g n /L = 

ln) 

= 0,35 





P(9s) 


= P(ln] 

) • P(g s /L = l n ) 

+ P{1 8 ) 

• P(9s/L 

P(9n) 


= P(ln] 

) • P(g n /L = l n ) 

+ P(ls) 

■ P(gJL 


0,605 

0,395 


Calculemos ahora las entropias: 


H{G) = —P(g s ) log 2 {P{g 8 )) - P(g n ) log 2 (P(< 7 „)) = 0,9679 
H(G/L) = —P(g s , l s ) log 2 {P{g s /L = Q) - P(g 8 , l n ) log 2 (P(g s /L = l n ))~ 
~P(9n, ls) log 2 (P(g n /L = l s )) - P(g n , l n ) \og 2 (P(g n /L = /„)) = 

= -0,0525 • log 2 (0,35) - 0,5525 • log 2 (0,65)- 

-0,0975 • log 2 (0,65) - 0,2975 • log 2 (0,35) = 0,9333 

La cantidad de información entre G y L es, finalmente 

H(G) - H(G/L) = 0,9679 - 0,9333 = 0,0346 bits 

6. Suponga un conjunto de 20 mensajes equiprobables. ^Cuál será la longitud me¬ 
dia de cada mensaje para una transmisión óptima? Escriba un código binário 
que aproxime su longitud media de mensaje a ese valor óptimo. 

SoluciómLa. longitud media óptima de los mensajes, cuando éstos son equipro¬ 
bables, es el logaritmo base dos dei número de mensajes, por tanto 
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log 2 (20) = 4,3219 

Una posible codificación, con una longitud media de 4,4 bits por mensaje, seria 
la siguiente: 


rn {) 

00000 

mio 

0110 

mi 

00001 

mu 

0111 

rn 2 

00010 

m 12 

1000 

m 3 

00011 

m 13 

1001 

m 4 

00100 

m u 

1010 

m 5 

00101 

m 15 

1011 

m 6 

00110 

m 16 

1100 

mi 

00111 

m 17 

1101 

mg 

0100 

m 18 

1110 

m 9 

0101 

m 19 

1111 


7. Considere un conjunto de 11 mensajes, el primero con probabilidad 50%, y el 
resto con probabilidad 5 %. Calcule su entropia. 

Solución: La entropia de los mensajes es igual a: 


H{X) = -0,5 • log 2 (0,5) - 10 • 0,05 • log 2 (0,05) = 2,660 bits 


3.10. Ejercicios Propuestos 

1. Calcule la cantidad de información asociada a conocer el ganador de una ca- 
rrera en la que compiten quince atletas, si suponemos que a priori todos los 
corredores tienen las mismas probabilidades de ganar. Calcule también la can¬ 
tidad de información asociada a conocer también quiénes quedan en segundo 
y tercer puesto respectivamente. 

2. Suponga que lanzamos dos dados y sumamos las puntuaciones obtenidas. Cal¬ 
cule la entropia asociada a dicho experimento. 

3. Calcule el índice absoluto de un lenguaje con 32 símbolos. Calcule la redundân¬ 
cia de dicho lenguaje, sabiendo que su índice es de 2 bits/letra. 
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Capítulo 4 

Complejidad Algorítmica 


Cuando disenamos un algoritmo criptográfico, pretendemos plantear a un posi- 
ble atacante un problema que éste sea incapaz de resolver. Pero, ^bajo qué circuns¬ 
tancias podemos considerar que un problema es intratable ? Evidentemente, queremos 
que nuestro fisgón se enfrente a unos requerimientos de computación que no pueda 
asumir. La cuestión es cómo modelizar y cuantificar la capacidad de cálculo necesa- 
ria para abordar un problema. En este capítulo efectuaremos un breve repaso de las 
herramientas formales que nos van a permitir dar respuesta a estos interrogantes. 


4.1. Concepto de Algoritmo 

En la actualidad, la práctica totalidad de las aplicaciones criptográficas emplean 
computadoras en sus cálculos, y las computadoras convencionales están disenadas 
para ejecutar algoritmos. Definiremos algoritmo como una secuencia finita y ordenada de 
instrucciones elementales que, dados los valores de entrada de un problema, en algún momento 
finaliza y devuelve la solución. 

En efecto, las computadoras actuales poseen una memória, que les sirve para al- 
macenar datos, unos dispositivos de entrada y salida que les permiten comunicarse 
con el exterior, una unidad capaz de hacer operaciones aritméticas y lógicas, y una 
unidad de control, capaz de leer, interpretar y ejecutar un programa o secuencia de 
instrucciones. Habitualmente, las unidades aritmético-lógica y de control se suelen 
encapsular en un único circuito integrado, que se conoce por microprocesador o CPU. 

Cuando nosotros disenamos un algoritmo de cifrado, estamos expresando, de un 
modo más o menos formal, la estructura que ha de tener la secuencia de instrucciones 
concreta que permita implementar dicho algoritmo en cada computadora particular. 
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Habrá computadoras con más o menos memória, velocidad o incluso número de 
microprocesadores —capaces de ejecutar vários programas ai mismo tiempo—> pero 
en esencia todas obedecerán ai concepto de algoritmo. 

La Teoria de Algoritmos es una ciência que estudia cómo construir algoritmos pa¬ 
ra resolver diferentes problemas. En muchas ocasiones no basta con encontrar una 
forma de solucionar ei problema: la solución ha de ser óptima. En este sentido la Teo¬ 
ria de Algoritmos también proporciona herramientas formales que nos van a permitir 
decidir qué algoritmo es mejor en cada caso, independientemente de las característi¬ 
cas particulares 1 de la computadora concreta en la que queramos implantado. 

La Criptografia depende en gran medida de la Teoria de Algoritmos, ya que por 
un lado hemos de asegurar que el usuário legítimo, que posee la clave, puede cifrar 
y descifrar la información de forma rápida y cómoda, mientras que por otro hemos 
de garantizar que un atacante no dispondrá de ningún algoritmo eficiente capaz de 
comprometer el sistema. 

Cabría plantearnos ahora la siguiente cuestión: si un mismo algoritmo puede re¬ 
sultar más rápido en una computadora que en otra, ^podría existir una computadora 
capaz de ejecutar de forma eficiente algoritmos que sabemos que no lo son?. Existe un 
principio fundamental en Teoria de Algoritmos, llamado principio de invarianza, que 
dice que si dos implementaciones dei mismo algoritmo consumen t\{n) y t 2 (n) segun¬ 
dos respectivamente, siendo n el tarnaho de los datos de entrada, entonces existe una 
constante positiva c tal que 1 1 ( n) < c-t 2 (n), siempre que n sea lo suficientemente gran¬ 
de. En otras palabras, que aunque podamos encontrar una computadora más rápida, 
o una implementación mejor, la evolución dei tiempo de ejecución dei algoritmo en 
función dei tarnaho dei problema permanecerá constante, por lo tanto la respuesta a 
la pregunta anterior es, afortunadamente, negativa. Eso nos permite centramos por 
completo en el algoritmo en si y olvidamos de la implementación concreta a la hora 
de hacer nuestro estúdio. 

En muchas ocasiones, el tiempo de ejecución de un algoritmo viene dado por las 
entradas concretas que le introduzcamos. Por ejemplo, se necesitan menos operacio- 
nes elementales para ordenar de menor a mayor la secuencia {1,2, 3,4, 6,5} que {6,5, 
3, 2,1,4}. Eso nos llevará a distinguir entre tres alternativas: 

■ Mejor caso: Es el número de operaciones necesario cuando los datos se encuen- 
tran distribuidos de la mejor forma posible para el algoritmo. Evidentemente 
este caso no es muy práctico, puesto que un algoritmo puede tener un mejor 
caso muy bueno y comportarse muy mal en el resto. 

1 En algunos casos, sobre todo cuando se trata de computadoras con muchos microprocesadores, se 
estudian algoritmos específicos para aprovechar las peculiaridades de la máquina sobre la que se van 
a implantar. 
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■ Peor caso : Es el número de operaciones necesario para la distribución más pe- 
simista de los datos de entrada. Nos permitirá obtener una cota superior dei 
tiempo de ejecución necesario. Un algoritmo que se comporte bien en el peor 
caso, será siempre un buen algoritmo. 

■ Caso promedio: Muchas veces, hay algoritmos que en el peor caso no funcionan 
bien, pero en la mayoría de los casos que se presentan habitualmente tienen un 
comportamiento razonablemente eficiente. De hecho, algunos algoritmos típi¬ 
cos de ordenación necesitan el mismo número de operaciones en el peor caso, 
pero se diferencian considerablemente en el caso promedio. 


4.2. Complejidad Algorítmica 

En la mayoría de los casos carece de interés calcular el tiempo de ejecución concre¬ 
to de un algoritmo en una computadora, e incluso algunas veces simplemente resulta 
imposible. En su lugar emplearemos una notación de tipo asintótico, que nos permi¬ 
tirá acotar dicha magnitud. Normalmente consideraremos el tiempo de ejecución dei 
algoritmo como una función f(n) dei tamano n de la entrada, y la llamaremos or- 
den de complejidad dei algoritmo. / debe estar definida para los números naturales y 
devolver valores en M + . 

Dada la función /(n), haremos las siguientes definiciones: 

■ Limite superior asintótico: f(n) = 0(g(n )) si existe una constante positiva c y un 
número entero positivo n 0 tales que 0 < f(n) < cg(n ) Vn > n 0 . 

■ Limite inferior asintótico: f(n) = íl(g(n)) si existe una constante positiva c y un 
número entero positivo n 0 tales que 0 < cg(n) < f(n ) Vn > n 0 . 

■ Limite exacto asintótico: f(n ) = @(g(n)) si existen dos constantes positivas ci,c 2 
y un número entero positivo n 0 tales que C\g(n) < f(n ) < c 2 (?(n) Vn > n 0 . 

■ Notación o: f(n ) = o(g(n)) si para cualquier constante positiva c existe un nú¬ 
mero entero positivo n 0 > 0 tal que 0 < /(n) < cg(n ) Vn > n 0 . 

Intuitivamente, /(n) = 0(g(n)) significa que /(n) crece asintóticamente no más 
rápido que g{n ) multiplicada por una constante. Análogamente /(n) = íl(g(n)) quie- 
re decir que /(n) crece asintóticamente al menos tan rápido como g(n) multiplicada 
por una constante. Definiremos ahora algunas propiedades sobre la notación que 
acabamos de introducir: 
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a) f( n ) = 0(g(n )) g(n) = Fl(f(n)). 

b) /(n) = Q(g(n)) /(n) = 0(g(n)) A /(n) = Í2(g(n)). 

c) Si /(n) = 0(h(n)) A g(n) = 0(/i(n)), entonces (/ + g)(n) = 0(h(n)). 

d) Si f(n) = 0(h(n)) A g(n) = 0(l(n)), entonces (/ • g)(n) = 0{h(n)l{n)). 

e) f(n) = 0(f(n)). 

f) Si f(n) = 0(g(n)) A g(n) = 0(h(n)), entonces f(n) = 0(h(n)). 

Para algunas funciones de uso común, podemos definir directamente su orden de 
complejidad: 

■ Funciones polinomiales: Si f(n) es un polinomio de grado k, y su coeficiente de 
mayor grado es positivo, entonces f(n) = Q(n k ). 

■ Funciones logarítmicas: Para cualquier constante c > 0, log c (n) = @(ln(n)). 

■ Factoriales: n\ = ff(2 n ). 

■ Logaritmo de un factorial: ln(n!) = ©(nln(n)). 

Veamos un ejemplo: supongamos que tenemos un algoritmo que necesita llevar a 
cabo f(n) = 20n 2 + l()n + 1000 operaciones elementales. Podemos decir que ese al¬ 
goritmo tiene un orden de ejecución @(n 2 ), es decir, que el tiempo de ejecución crece, 
de forma asintótica, proporcionalmente al cuadrado dei tamano de la entrada. Otro 
algoritmo que necesite g(n) = n 3 + 1 operaciones efectuará menos cálculos para una 
entrada pequena, pero su orden es @(n 3 ), por lo que crecerá mucho más rápidamente 
que el anterior y, en consecuencia, será menos eficiente. 


4.2.1. Operaciones Elementales 

Hasta ahora hemos empleado el término operaciones elementales sin especificar su 
significado concreto. Podemos considerar una operación elemental como aquella que 
se ejecuta siempre en tiempo constante. Evidentemente, en función de las caracterís¬ 
ticas concretas de la computadora que esternos manejando, habrá operaciones que 
podrán considerarse elementales o no. Por ejemplo, en una computadora que pue- 
da operar únicamente con números de 16 bits, no podrá considerarse elemental una 
operación con números de 32 bits. 
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En general, el tamano de la entrada a un algoritmo se mi de en bits, y se consideran 
en principio elementales únicamente las operaciones a nivel de bit. Sean a y b dos 
números enteros positivos, ambos menores o iguales que n. Necesitaremos, pues, 
aproximadamente log 2 (n) bits para representados —nótese que, en este caso, log 2 (n) 
es el tamano de la entrada—. Según este critério, las operaciones aritméticas, llevadas 
a cabo mediante los algoritmos tradicionales, presentan los siguientes ordenes de 
complejidad: 

- Suma (a + b ): 0(log 2 (o) + log 2 (ò)) = 0(log 2 (n)) 

■ Resta (a - 6): 0(log 2 (a) + log 2 (ò)) = 0(log 2 (ra)) 

■ Multiplicación (a ■ 6): 0(log 2 (a) • log 2 (ò)) = 0((log 2 (n)) 2 ) 

- División (a/b): 0(log 2 (a) ■ log 2 (ò)) = 0((log 2 (n)) 2 ) 

Recordemos que el orden de complejidad de un logaritmo es independiente de la 
base, por lo que la capacidad de realizar en tiempo constante operaciones aritméti¬ 
cas con números de más bits únicamente introducirá un factor de proporcionalidad 
—recuérdese que log a (x) = log b (a;) ■ log a (ò)—. Dicho factor no afecta al orden de com¬ 
plejidad obtenido, por lo que podemos considerar que estas operaciones se efectúan 
en grupos de bits de tamano arbitrário. En otras palabras, una computadora que reali- 
ce operaciones con números de 32 bits debería tardar la mitad en ejecutar el mismo 
algoritmo que otra que sólo pueda operar con números de 16 bits pero, asintótica- 
mente, el crecimiento dei tiempo de ejecución en función dei tamano de la entrada 
será el mismo para ambas. 


4.3. Algoritmos Polinomiales, Exponenciales y Subex¬ 
ponenciales 

Diremos que un algoritmo es polinomial si su peor caso de ejecución es de orden 
0(n k ), donde n es el tamano de la entrada y k es una constante. Adicionalmente, 
cualquier algoritmo que no pueda ser acotado por una función polinomial, se conoce 
como exponencial. En general, los algoritmos polinomiales se consideran eficientes, 
mientras que los exponenciales se consideran ineficientes. 

Un algoritmo se denomina snbexponencial si en el peor de los casos, la función de 
ejecución es de la forma e o(jL \ donde n es el tamano de la entrada. Son asintóticamente 
más rápidos que los exponenciales puros, pero más lentos que los polinomiales. 
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4.4. Clases de Complejidad 

Para simplificar la notación, en muchas ocasiones se suele reducir el problema 
de la complejidad algorítmica a un simple problema de decisión, de forma que se 
considera un algoritmo como un mecanismo que permite obtener una respuesta sí o 
no a un problema concreto. 

■ La clase de complejidad P es el conjunto de todos los problemas de decisión que 
pueden ser resueltos en tiempo polinomial. 

■ La clase de complejidad NP es el conjunto de todos los problemas para los cuales 
una respuesta afirmativa puede ser verificada en tiempo polinomial, emplean- 
do alguna información extra, denominada certificado. 

■ La clase de complejidad co-NP es el conjunto de todos los problemas para los cua¬ 
les una respuesta negativa puede ser verificada en tiempo polinomial, usando 
un certificado apropiado. 

Nótese que el hecho de que un problema sea NP, no quiere decir necesariamen- 
te que el certificado correspondiente sea fácil de obtener, sino que, dado éste últi¬ 
mo, puede verificarse la respuesta afirmativa en tiempo polinomial. Una observación 
análoga puede llevarse a cabo sobre los problemas co-NP. 

Sabemos que P Ç NP y que P Ç co-NP. Sin embargo, aún no se sabe si P = NP, 
si NP = co-NP, o si P = NP n co-NP. Si bien muchos expertos consideran que nin- 
guna de estas tres igualdades se cumple, este punto no ha podido ser demostrado 
matemáticamente. 

Dentro de la clase NP, existe un subconjunto de problemas que se llaman NP- 
completos, y cuya clase se nota como NPC. Estos problemas tienen la peculiaridad 
de que todos ellos son equivalentes, es decir, se pueden reducir unos en otros, y si 
lográramos resolver alguno de ellos en tiempo polinomial, los habríamos resuelto 
todos. También se puede decir que cualquier problema NP-completo es al menos tan 
difícil de resolver como cualquier otro problema NP, lo cual hace a la clase NPC la 
de los problemas más difíciles de resolver computacionalmente. 

Sea A = {ai, a 2 ,... a n } un conjunto de números enteros positivos, y s otro núme¬ 
ro entero positivo. El problema de determinar si existe un subconjunto de A cuyos 
elementos sumen s es un problema NP-completo, y, como ya se ha dicho, todos los 
problemas de esta clase pueden ser reducidos a una instancia de este. Nótese que da¬ 
do un subconjunto de A, es muy fácil verificar si suma s, y que dado un subconjunto 
de A que sume s —que desempenaría el papel de certificado—, se puede verificar 
fácilmente que la respuesta al problema es afirmativa. 
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Figura 4.1: Relación entre las clases de complejidad P, NP, co-NP y NPC. 


En la figura 4.1 puede observarse gráficamente la relación existente entre las dis¬ 
tintas clases de complejidad que acabamos de definir. 

Finalmente, apuntaremos que existe una clase de problemas, los denominados 
NP-duros —esta clase se define sobre los problemas en general, no sólo sobre los 
de decisión—, y que contiene la versión computacional dei problema definido ante¬ 
riormente, que consistiría en encontrar el subconjunto de A cuyos elementos suman 
s. 


4.5. Algoritmos Probabilísticos 


Hasta ahora hemos estudiado la complejidad de algoritmos de tipo determinísti- 
co, que siempre siguen el mismo camino de ejecución y que siempre llegan —si lo 
hacen— a la misma solución. Sin embargo, existen problemas para los cuales puede 
ser más interesante emplear algoritmos de tipo no determinístico, también llamados 
probabilísticos o aleatorizados. Este tipo de algoritmos maneja algún tipo de parâ¬ 
metro aleatorio, lo cual hace que dos ejecuciones diferentes con los mismos datos de 
entrada no tengan por qué ser idênticas. En algunos casos, métodos de este tipo per- 
miten obtener soluciones en una cantidad de tiempo considerablemente inferior a la 
necesaria si se emplean algoritmos determinísticos (ver sección 5.7). 

Podemos clasificar los algoritmos no determinísticos según la probabilidad con la 
que devuelvan la solución correcta. Sea A un algoritmo aleatorizado para el problema 
de decisión L, y sea / una instancia arbitraria de L. Sea PI la probabilidad de que A 
devuelva cierto cuando / es cierto, y P2 la probabilidad de que A devuelva cierto 
cuando I es falso. 
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■ A es de tipo error nulo si PI = 1 y P2 = 0. 

■ A es de tipo error simple si PI > c, siendo c una constante positiva, y P 2 = 0 

■ A es de tipo error doble si Pl > \ + e, y P2 < | — e 

Definiremos también ei tiempo esperado de ejecución de un algoritmo aleatoriza- 
do como ei limite superior dei tiempo de ejecución esperado para cada entrada, expresa- 
do en función dei tamano de la entrada. El tiempo de ejecución esperado para cada 
entrada será la media de los tiempos obtenidos para esa entrada y todas las posibles 
salidas dei generador aleatorio. 

Las clases de complejidad probabilística son las siguientes: 

■ Clase ZPP: conjunto de todos los problemas de decisión para los cuales existe un 
algoritmo de tipo error nulo que se ejecuta en un tiempo esperado de ejecución 
polinomial. 

■ Clase RP: conjunto de los problemas de decisión para los cuales existe un algo¬ 
ritmo de tipo error simple que se ejecuta en el peor caso en tiempo polinomial. 

■ Clase BPP: conjunto de los problemas de decisión para los cuales existe un al¬ 
goritmo de tipo error doble que se ejecuta en el peor caso en tiempo polinomial. 

Finalmente, diremos que P Ç ZPP Ç RP C BPP y RP Ç NP. 

4.6. Conclusiones 

En este capítulo hemos contemplado únicamente aquellos problemas para los que 
existe una solución algorítmica —el programa finaliza siempre, aunque necesite un 
número astronómico de operaciones elementales—, y hemos dejado a un lado deli- 
beradamente aquellos problemas para los cuales no existen algoritmos cuya finali- 
zación esté garantizada (problemas no-decidibles y semidecicibles), ya que en principio 
escapan al propósito de este libro. 

Se han repasado las clases genéricas de problemas que se pueden afrontar, en 
función dei tipo de algoritmos que permiten resolverlos, y se ha descrito una notación 
general para expresar de forma precisa la complejidad de un algoritmo concreto. Se 
ha puesto de manifiesto asimismo que un algoritmo ineficiente, cuando el tamano 
de la entrada es lo suficientemente grande, es totalmente inabordable incluso para la 
más potente de las computadoras, al menos con la tecnologia actual. 
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El hecho de que no se conozca un algoritmo eficiente para resolver un problema 
no quiere decir que éste no exista, y por eso es tan importante la Teoria de Algorit¬ 
mos para la Criptografia. Si, por ejemplo, se lograra descubrir un método eficiente 
capaz de resolver logaritmos discretos (ver sección 5.4), algunos de los algoritmos 
asimétricos más populares en la actualidad dejarían de ser seguros. De hecho, la con¬ 
tinua reducción dei tiempo de ejecución necesario para resolver ciertos problemas, 
propiciada por la aparición de algoritmos más eficientes, junto con el avance de las 
prestaciones dei hardware disponible, obliga con relativa frecuencia a actualizar las 
previsiones sobre la seguridad de muchos sistemas criptográficos. 
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Capítulo 5 

Aritmética Modular 


5.1. Concepto de Aritmética Modular 

La aritmética modular es una parte de las Matemáticas extremadamente útil en 
Criptografia, ya que permite realizar cálculos complejos y plantear problemas in- 
teresantes, manteniendo siempre una representación numérica compacta y definida, 
puesto que sólo maneja un conjunto finito de números enteros. Mucha gente la co- 
noce como la aritmética dei reloj, debido a su parecido con la forma que tenemos de 
contar el tiempo. Por ejemplo, si son las 19:13:59 y pasa un segundo, décimos que son 
las 19:14:00, y no las 19:13:60. Como vemos, los segundos —al igual que los minutos— 
, se expresan empleando sesenta valores ciclicamente, de forma que tras el 59 viene 
de nuevo el 0. Desde el punto de vista matemático diríamos que los segundos se 
expresan módulo 60. 

Empleemos ahora un punto de vista más formal y riguroso: Dados tres números 
a, b, n e N, décimos que a es congruente con b módulo n, y se escribe: 

a = b (mód n) 


si se cumple: 

a = b + kn, para algún fceZ 

Por ejemplo, 37 = 5 (mód 8), ya que 37 = 5 + 4 • 8. De hecho, los números 5, 
-3, 13, -11, 21, -19, 29... son todos equivalentes en la aritmética módulo 8 , es decir, 
forman una clase de equivalência. Como se puede apreciar, cualquier número entero 
pertenecerá necesariamente a alguna de esas clases, y en general, tendremos n clases 
de equivalência módulo n (números congruentes con 0, números congruentes con 1, 
..., números congruentes con n — 1). Por razones de simplicidad, representaremos 
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cada clase de equivalência por un número comprendido entre 0 y n— 1. De esta forma, 
en nuestro ejemplo (módulo 8) tendremos el conjunto de clases de equivalência {0,1, 
2,3,4,5,6,7}, al que denominaremos Z 8 . Podemos definir ahora las operaciones suma 
y producto en este tipo de conjuntos: 

■ a + b = c (mód n) 4=4- a + b — c + kn k £ Z 

■ ab = c (mód n) 4=4» ab — c + kn k € Z 


Propiedades de la suma: 

■ Asociativa : Va, 6,c 6 Z n (a + 6) + c = a + (6 + c) (mód n) 

■ Conmutativa: Va, ò £ Z n a + b = b + a (mód n) 

■ Elemento Neutro: Va 6 Z n 3 0 tal que a + 0 = a (mód n) 

■ Elemento Simétrico (opuesto): Va e Z n 3 b tal que a + b = 0 (mód n) 

Propiedades dei producto: 

■ Asociativa: Va, 6,c 6 Z n (a ■ b) ■ c = a - (b ■ c ) (mód n) 

■ Conmutativa: Va, ò £ Z n a ■ b = b ■ a (mód n) 

■ Elemento Neutro: Va £ Z n 3 1 tal que a ■ 1 = a (mód n) 

Propiedades dei producto con respecto de la suma: 

■ Distributiva: Va, 6, c £ Z n (a + ò) • c = (a • c) + (b ■ c) (mód n) 

La operación suma cumple las propiedades asociativa y conmutativa y posee ele¬ 
mentos neutro y simétrico. Podemos decir por tanto que el conjunto Z n/ junto con 
esta operación, tiene estructura de grupo conmutativo. A partir de ahora llamaremos 
grupo finito inducido por n a dicho conjunto. 

Con la operación producto se cumplen las propiedades asociativa y conmutativa, 
y tiene elemento neutro, pero no necesariamente simétrico —recordemos que al ele¬ 
mento simétrico para el producto se le suele denominar inverso —. La estructura dei 
conjunto con las operaciones suma y producto es, pues, de anillo conmutativo. Más 
adelante veremos bajo qué condiciones existe el elemento simétrico para el producto. 


Manuel J. Lucena López 


Criptografia y Seguridad en Computadores 



5.1. Concepto de Aritmética Modular 


71 


5.1.1. Algoritmo de Euclides 

Quizá sea el algoritmo más antiguo que se conoce, y a la vez es uno de los más 
útiles. Permite obtener de forma eficiente el máximo común divisor de dos números. 

Sean ay b dos números enteros de los que queremos calcular su máximo común 
divisor m. El Algoritmo de Euclides explota la siguiente propiedad: 

m\a A m\b ==>• m\(a — kb ) con k e Z ==>- m\(a mód b) 

a\b quiere decir que a divide a b, o en otras palabras, que b es múltiplo de a, mientras 
que (a mód b) representa el resto de dividir a entre b. En esencia estamos diciendo, 
que, puesto que m divide tanto a a como a b, debe dividir a su diferencia. Entonces si 
restamos k veces b de a, llegará un momento en el que obtengamos el resto de dividir 
a por b, o sea a mód b. 

Si llamamos c a (a mód b ), podemos aplicar de nuevo la propiedad anterior y te- 
nemos: 


m\(b mód c) 

Sabemos, pues, que m tiene que dividir a todos los restos que vayamos obtenien- 
do. Es evidente que el último de ellos será cero, puesto que los restos siempre son 
inferiores al divisor. El penúltimo valor obtenido es el mayor número que divide 
tanto a a como a 6, o sea, el máximo común divisor de ambos. El algoritmo queda 
entonces como sigue: 
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El invariante —condición que se mantiene en cada iteración— 
Euclides es el siguiente: 


9i +1 = 9 %-1 (mód gi) 


dei Algoritmo de 


y su orden de complejidad será de 0((log 2 {n)y 2 ) operaciones a nivel de bit, siendo n 
una cota superior de ay b. 


5.1.2. Complejidad de las Operaciones Aritméticas en Z n 

La complejidad algorítmica de las operaciones aritméticas modulares es la misma 
que la de las no modulares: 

■ Suma modular ((a + b) mód ri): 0(log 2 (a) + log 2 (ò)) = 0(log 2 (n)) 

■ Resta modular ((a — b) mód ri): 0(log 2 (a) + log 2 (ò)) = 0(log 2 (n)) 

■ Multiplicación modular ((a ■ b) mód ri): 0(log 2 (a) • log 2 (ò)) = 0((log 2 (n)) 2 ) 


5.2. Cálculo de Inversas en Z n 

5.2.1. Existência de la Inversa 

Hemos comentado en la sección 5.1 que los elementos de un grupo finito no tie- 
nen por qué tener inversa —elemento simétrico para el producto—. En este apartado 
veremos qué condiciones han de cumplirse para que exista la inversa de un número 
dentro de un grupo finito. 

Definición: Dos números enteros ay b se denominan primos entre sí (o coprimos), si 
mcd(a, b) = 1. 

Lema: Dados a,n e N 


mcd(a, ri) — 1 ai ^ aj (mód ri) 

Demostración: Supongamos que mcd(a, ri) = 1, 
af (mód ri). Se cumple, pues: 


V i 7 ^ j 0 < i, j < n (5.1) 

y que existen i / j tales que ai = 


n\(ai 


aj) 


nau 


j) 
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puesto que a y n son primos entre sí, n no puede dividir a a, luego 

n\(i — j) =>- i = j (mód n) 

con lo que hemos alcanzado una contradicción. 

Ahora podemos hacer la siguiente reflexión: Si ai ^ aj para cualesquiera i ^ j, 
multiplicar a por todos los elementos dei grupo finito módulo n nos producirá una 
permutación de los elementos dei grupo (exceptuando el cero), por lo que forzosa- 
mente ha de existir un valor tal que al multiplicado por a nos dé 1. Eso nos conduce 
al siguiente teorema: 

Definición: Un número entero p > 2 se dice primo si sus únicos divisores positivos 
son 1 y p. En caso contrario se denomina compuesto. 

Teorema: Si mcd(a, n) = 1, a tiene inversa módulo n. 

Corolário: Si n es primo, el grupo finito que genera tiene estructura de cuerpo 
—todos sus elementos tienen inversa para el producto excepto el cero—. Estos cuer- 
pos finitos tienen una gran importância en Matemáticas, se denominan Cnerpos de 
Galois, y su notación es GF(n). 


5.2.2. Función de Euler 

Llamaremos conjunto reducido de resíduos módulo n —y lo notaremos Z* — al con¬ 
junto de números primos relativos con n. En otras palabras, Z* es el conjunto de todos 
los números que tienen inversa módulo n. Por ejemplo, si n fuera 12, su conjunto re¬ 
ducido de residuos seria: 

{1,5,7,11} 

Existe una expresión que permite calcular el número de elementos —el cardinal — 
dei conjunto reducido de residuos módulo n: 

n 

Ki = I Jpr\p. - 1 ) (5.2) 

1=1 

siendo p, los factores primos de n y e, su multiplicidad. Por ejemplo, si n fuera el 
producto de dos números primos p y q, |Z* | = (p — l)(q — 1). 

Se define la función de Euler sobre n, y se escribe ó(n), como el cardinal de Z*, es 
decir: 

Mn) = \K\ 
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Teorema: Si mcd(a, n) = 1: 

a^ n) = 1 (mód n) (5.3) 

Demostración: Puesto que ay n son primos entre sí, a multiplicado por cualquier 
elemento dei conjunto reducido de residuos módulo n {ri,..., r^( n )} ha de ser tam- 
bién primo con n, por lo tanto el conjunto {ar 1 ,..., ar 0 ( n) } no es más que una permu- 
tación dei conjunto anterior, lo cual nos lleva a: 


n r i =n ari=a ^ n r * == ^ ^ ( m °d n) 

i= 1 i= 1 i —1 

(Pequeno) Teorema de Fermat: Si p es primo, entonces 

a p_1 = 1 (mód p ) 


(5.4) 


Como consecuencia de este último teorema podemos deducir que si p es un nú¬ 
mero primo y 


r = s (mód p — 1), 


entonces 


a r = a s (mód p), 

sea cual sea el valor de a. Por lo tanto, cuando trabajamos módulo p, siendo p primo, 
los exponentes pueden ser reducidos módulo p — 1. 


Definición: Sea a e Z*. Se define el orden de a, denotado ord(a), como el menor 
entero positivo t tal que a t = 1 (mód n). 


Existe una interesante propiedad de ord(a). Si a ,s = 1 (mód n), entonces ord(a) 
divide a s. En particular, tenemos que ord(a) siempre divide a ó(n). 


Después de todo lo expuesto, queda claro que uno de los posibles métodos para 
calcular inversas módulo n, es precisamente la Función de Euler, puesto que: 


a^ = aa^ 1 = 1 (mód n) =a 1 = a^ 1 (mód n) 


5.2.3. Algoritmo Extendido de Euclides 

El Algoritmo Extendido de Euclides también puede ser empleado para calcular 
inversas. Es una ampliación dei de Euclides, que posee el mismo orden de comple- 
jidad, y que se obtiene simplemente al tener en cuenta los cocientes además de los 
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restos en cada paso. El invariante que mantiene es el siguiente, suponiendo que se le 
pasen como parâmetros n y a: 

9i = nui + avi 

El último valor de g % será el máximo común divisor entre a y n, que valdrá 1 si 
estos números son primos relativos, por lo que tendremos: 

1 = nui + aig 


o sea, 

avi = 1 (mód n) 

luego (v t mód n) será la inversa de a módulo n. 

Nuestra segunda alternativa para calcular inversas, cuando desconozcamos (f>(n), 
será pues el Algoritmo Extendido de Euclides. En la implementación que damos, co¬ 
mo puede apreciarse, calculamos tanto los Ui como los v u aunque luego en la práctica 
sólo empleemos estos últimos. Obsérvese también la segunda cláusula while, que 
tiene como único fin que el valor devuelto esté comprendido entre 0 y n — 1. 
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5.3. Teorema Chino dei Resto 


El Teorema Chino dei Resto es una potente herramienta matemática, que posee 
interesantes aplicaciones criptográficas. 

Teorema : Sea pi,... p r una serie de números primos entre sí, y n = pi ■ p 2 ■ ... • p r , 
entonces el sistema de ecuaciones en congruências 


x = Xi (mód pi) i — 1,... ,r 


(5.5) 


tiene una única solución común en [0, n — 1], que viene dada por la expresión: 


x = — r (n/pi) 1 (mód pM x % (mód n) 

Vi 

i= 1 y 1 


(5.6) 


Demostración: Para cada i, mcd 
inversa yi tal que 


Pu 


= 1. Por lo tanto, cada debe tener una 

Pi 


n 


Pi 


IP = 1 (mód pi) 


También se cumple 


Vi = 0 (mód pj) Vi j 


ya que ^ es múltiplo de cada pj. 

r 

Sea x = ^ — ijiXi (mód n). Entonces x es una solución a (5.5), ya que 

<=i Pi 

—UkXk H- ViXi = 0 + 1 -Xí = Xí (mod p { ). 

& Pk P * 

Como puede apreciarse, esta demostración nos proporciona además una solución 
al sistema de ecuaciones (5.5), lo cual puede resultamos de gran utilidad para ciertas 
aplicaciones, como por ejemplo, el algoritmo RSA (ver sección 12.3). 


Manuel J. Lucena López 


Criptografia y Seguridad en Computadores 










5.4. Exponenciación. Logaritmos Discretos 


77 


5.4. Exponenciación. Logaritmos Discretos 

Muchos de los algoritmos de llave pública emplean exponenciaciones dentro de 
grupos finitos para codificar los mensajes. Tanto las bases como los exponentes en 
esos casos son números astronómicos, incluso de miles de bits de longitud. Efectuar 
las exponenciaciones mediante multiplicaciones reiterativas de la base seria inviable. 
En esta sección veremos mecanismos eficientes para llevar a cabo estas operaciones. 
También comentaremos brevemente el problema inverso, el cálculo de los logarit¬ 
mos discretos, puesto que en su dificultad intrínseca se apoyan muchos algoritmos 
criptográficos. 


5.4.1. Algoritmo Rápido de Exponenciación 

Supongamos que tenemos dos números naturales a y b, y queremos calcular a b . El 
mecanismo más sencillo seria multiplicar a por sí mismo b veces. Sin embargo, para 
valores muy grandes de b este algoritmo no nos sirve. 

Tomemos la representación binaria de b: 

b = 2°òo + 2 1 òi + 2% + • • • + 2 n b n 

Expresemos la potência que vamos a calcular en función de dicha representación: 

n 

a b _ a 2°6 0 +2 1 6i+2 2 6 2 +...+2"6 n _ a 2% 

i =0 

recordemos que los sólo pueden valer 0 ó 1, por tanto para calcular a b sólo hemos 
de multiplicar los a 2 ' correspondientes a los dígitos binários de b que valgan 1. 

Nótese, además, que a 2 ' = (a 2 ’ 1 ) 2 , por lo que, partiendo de a, podemos calcular 
el siguiente valor de esta serie elevando al cuadrado el anterior. El Algoritmo Rápido 
de Exponenciación queda como sigue: 


int exp_rapida (int a, int b) 
{ int z,x,resul; 

z=b; 

x=a; 

resul=l; 
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while (z>0) 

{ if (z%2==l) 

resul=resul*x; 

x=x*x; 

z=z/2; 

} 

return(resul); 

} 


La variable z se inicializa con el valor de b y se va dividiendo por 2 en cada paso 
para tener siempre el z-ésimo bit de b en el menos significativo de z. En la variable x 
se almacenan los valores de a 2 '. 

La extensión a Z n de este algoritmo es muy simple, pues bastaria sustituir las ope- 
raciones producto por el producto módulo n, mientras que su orden de complejidad, 
siendo n una cota superior de a, b y a b es de 0(log(n)) multiplicaciones sobre números 
de tamano log(ra), por lo que nos queda 0((log(n)) 3 ) operaciones a nivel de bit. 

5.4.2. El Problema de los Logaritmos Discretos 

El problema inverso de la exponenciación es el cálculo de logaritmos discretos. 
Dados dos números a, b y el módulo n, se define el logaritmo discreto de a en base b 
módulo n como: 


c = log b (a) (mód n) •<=>■ a = b c (mód n) (5.7) 

En la actualidad no existen algoritmos eficientes que sean capaces de calcular en 
tiempo razonable logaritmos de esta naturaleza, y muchos esquemas criptográficos 
basan su resistência en esta circunstancia. El problema de los logaritmos discretos 
está íntimamente relacionado con el de la factorización, de hecho está demostrado 
que si se puede calcular un logaritmo, entonces se puede factorizar fácilmente (el 
recíproco no se ha podido demostrar). 


5.4.3. El Problema de Diffie-Hellman 

El problema de Diffie-Hellman está íntimamente relacionado con el problema de 
los Logaritmos Discretos, y es la base de algunos sistemas criptográficos de clave pú¬ 
blica, como el de Diffie-Hellman (apartado 12.4.1) y el de ElGamal (apartado 12.4.2). 
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Antes de enunciarlo definiremos el término generador. Dado el conjunto Z*, con p 
primo, diremos que a e Z* es un generador de Z*, si se cumple 

V b E Z*, 3 i tal que a 1 = b 

El enunciado dei problema es el siguiente: dado un número primo p, un número 
a que sea un generador de Z*, y los elementos a a y a b , encontrar a ab (mód p). 

Nótese que nosotros conocemos a a y a b , pero no el valor de a ni el de b. De hecho, 
si pudiésemos efectuar de forma eficiente logaritmos discretos, seria suficiente con 
calcular a y luego ( a b ) a = a ab . 


5.5. Importância de los Números Primos 

Para explotar la dificultad de cálculo de logaritmos discretos, muchos algoritmos 
criptográficos de clave pública se basan en operaciones de exponenciación en gru¬ 
pos finitos. Dichos conjuntos deben cumplir la propiedad de que su módulo n sea 
un número muy grande con pocos factores —usualmente dos—. Estos algoritmos 
funcionan si se conoce n y sus factores se mantienen en secreto. Habitualmente para 
obtener n se calculan primero dos números primos muy grandes, que posteriormen¬ 
te se multiplican. Necesitaremos pues mecanismos para poder calcular esos números 
primos grandes. 

La factorización es el problema inverso a la multiplicación: dado n, se trata de 
buscar un conjunto de números tales que su producto valga n. Normalmente, y para 
que la solución sea única, se impone la condición de que los factores de n que obten- 
gamos sean todos primos elevados a alguna potência. Al igual que para el problema 
de los logaritmos discretos, no existen algoritmos eficientes para efectuar este tipo de 
cálculos. Esto nos permite confiar en que, en la práctica, será imposible calcular los 
factores de n , incluso disponiendo de elevados recursos computacionales. 

En cuanto al cálculo de primos grandes, bastaria con aplicar un algoritmo de fac¬ 
torización para saber si un número es primo o no. Este mecanismo es inviable, puesto 
que acabamos de decir que no hay algoritmos eficientes de factorización. Por suerte, 
sí que existen algoritmos probabilísticos que permiten decir con un grado de certeza 
bastante elevado si un número cualquiera es primo o compuesto. 

Cabría preguntarse, dado que para los algoritmos asimétricos de cifrado necesi¬ 
taremos generar muchos números primos, si realmente hay suficientes. De hecho se 
puede pensar que, a fuerza de generar números, llegará un momento en el que re¬ 
pitamos un primo generado con anterioridad. Podemos estar tranquilos, porque si a 
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cada átomo dei universo le asignáramos mil millones de números primos cada mi- 
crosegundo desde su origen hasta hoy, harían falta un total de IO 109 números primos 
diferentes, mientras que el total estimado de números primos de 512 bits o menos es 
aproximadamente de 10 151 . 

También podríamos pensar en calcular indiscriminadamente números primos pa¬ 
ra luego emplearlos en algún algoritmo de factorización rápida. Por desgracia, si qui- 
siéramos construir un disco duro que albergara diez mil GBytes por cada gramo de 
masa y milímetro cúbico para almacenar todos los primos de 512 bits o menos, el 
artilugio pesaria más de 10 135 Kg y ocuparia casi IO 130 metros cúbicos, es decir, seria 
miles de billones de veces más grande y pesado que la Via Láctea. 


5.6. Algoritmos de Factorización 


Como bien es sabido, la descomposición de un número entero n = p e / ■ p e / ■.. p e k k , 
siendo p, números primos y e, números enteros mayores que 0, es única. Cuando tra¬ 
tamos de obtener la factorización de n, normalmente nos conformamos con alcanzar 
una descomposición n = a ■ b no trivial —la descomposición trivial es aquella en la 
que a — n y b — 1—. En tal caso, y puesto que tanto a como b son menores que n, po¬ 
demos aplicar el mismo algoritmo de forma recursiva hasta que recuperemos todos 
los factores primos. Esta es la razón por la que los algoritmos de factorización suelen 
limitarse a dividir n en dos factores. 

También conviene apuntar el hecho de que, como se verá en la sección 5.7, es 
mucho más eficiente comprobar si un número es primo que tratar de factorizarlo, 
por lo que normalmente se recomienda aplicar primero un test de primalidad para 
asegurarse de que el número puede descomponerse realmente de alguna manera no 
trivial. 

Finalmente, queda la posibilidad de que n tenga un único factor, elevado a una 
potência superior a 1. Afortunadamente, existen métodos capaces de verificar si n es 
una potência perfecta x k , con k > 1, por lo que todos los algoritmos que comenta¬ 
remos en esta sección partirán de la suposición de que n tiene al menos dos factores 
primos diferentes. 

El algoritmo más sencillo e intuitivo para tratar de factorizar un número n es 
probar a dividirlo por todos los números enteros positivos comprendidos entre 2 y 
y/n. Evidentemente, este método es dei todo inaceptable en cuanto n alcanza valores 
elevados, y ha sido ampliamente mejorado por otras técnicas que, sin llegar a ser real¬ 
mente eficientes, son mucho más rápidas que la fuerza bruta. En esta sección haremos 
un breve repaso a algunos de los métodos más interesantes aparecidos hasta la fecha. 
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5.6.1. Método de Fermat 

Para factorizar n, el método de Fermat intenta representado mediante la expresión 

n = x 2 — y 2 (5.8) 

con x, y e Z, x, y > 1. Es fácil ver que 

n — (x + y) (x — y) — a ■ b 

donde ay b serán dos factores de n. El método de Fermat empieza tomando x 0 co¬ 
mo el primer entero mayor que y/n. Se comprueba entonces que y 0 — xl — n es un 
cuadrado perfecto, y en caso contrario se calcula x i+i — Xi + 1. Usando la siguiente 
expresión: 


y i+ i = x 2 +1 - n = (xí + l) 2 - n = x 2 - n + 2xi +1 = yi + 2xi +1 

se puede obtener el siguiente y, haciendo uso únicamente de operaciones sencillas. 
En cuanto encontremos un y, que sea un cuadrado perfecto, habremos dado con una 
factorización de n. Por ejemplo, vamos a intentar factorizar el número 481: 


Xo 

= 22 

l/o = 3 

2xo + 1 

= 45 

X\ 

= 23 

V\ = 48 

2x 1 + 1 

= 47 

X 2 

= 24 

1)2 = 95 

2x 2 + 1 

= 49 


= 25 

y 3 = 144 




Como puede verse, y 3 es el cuadrado de 12, luego podemos poner: 

481 = (25 + 12) (25 - 12) = 13-37 

Este método permite aún vários refinamientos, pero en cualquier caso resulta in- 
viable cuando el número n a factorizar es lo suficientemente grande, ya que presenta 
un orden de complejidad para el peor caso de 0(n) —nótese que al ser lineal en n, 
resulta exponencial en el tamano de n —. 


5.6.2. Método p — 1 de Pollard 

Este método se basa en poseer un múltiplo cualquiera m de p— 1, siendo p un factor 
primo de n. Todo ello, por supuesto, sin conocer el valor de p. Para ello necesitaremos 
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definir el concepto de uniformidad. Diremos que n es B-uniforme si todos sus factores 
primos son menores o iguales a B. 

Llegados a este punto, suponemos que p es un factor de n y p — 1 es Bi-uniforme, 
con Bi suficientemente pequeno. Calcularemos m como el producto de todos los nú¬ 
meros primos inferiores a Bi, elevados a la máxima potência que los deje por debajo 
de n. De esta forma, garantizamos que m es un múltiplo de p — 1, aunque no conoz- 
camos el valor de p. Una vez obtenido el valor de m, el algoritmo de factorización 
queda como sigue: 

1. Escoger un número a aleatorio dentro dei conjunto {2,..., n — 1}. 

2. Calcular d = mcd(a, n). Si d > 1, des un factor de n. Fin. 

3. Calculara = ( a m mód n). 

4. Calcular d = mcd(a; — 1, n). Si d > 1, d es un factor de n. Fin. 

5. Devolver fallo en la búsqueda de factores de n. Fin. 

Nótese que, en el paso 3, puesto que m es múltiplo de p — 1, x debería ser con¬ 
gruente con 1 módulo p, luego x — 1 debería ser múltiplo de p, por lo que el paso 4 
debería devolver p. 

Está demostrado que este algoritmo tiene un 50 % de probabilidades de encontrar 
un valor de a que permita obtener un factor de n. Ejecutándolo, pues, varias veces, es 
bastante probable que podamos hallar algún factor de n. 

Como ejemplo, vamos a tratar de factorizar el número 187, suponiendo que al- 
guno de sus factores es 3-uniforme. En tal caso m = 2 7 • 3 4 = 10368. Sea a = 2, 
entonces x = (2 10368 mód 187) = 69. Calculando mcd(68,187) nos queda 17, que divi¬ 
de a 187, por lo que 187 = 17 • 13. 

El orden de eficiência de este algoritmo es de 0(Blog B (n)) operaciones de multi- 
plicación modular, suponiendo que n tiene un factor p tal que p — 1 es /i-uniforme. 


5.6.3. Métodos Cuadráticos de Factorización 


Los métodos cuadráticos de factorización se basan en la ecuación 

x 2 = y 2 (mód n) 


(5.9) 


Siempre y cuando x ^ ±y 
por lo tanto 


(mód n), tenemos que ( x 2 
n\(x - y)(x + y) 


y 2 ) es múltiplo de n, y 


(5.10) 
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Adicionalmente, puesto que tanto x como y son menores que n, n no puede ser divi¬ 
sor de (x + y) ni de (x — y). En consecuencia, n ha de tener factores comunes tanto con 
(x + y) como con {x — y), por lo que el valor d = mcd (n,x — y) debe ser un divisor de n. 
Se puede demostrar que si n es impar, no potência de primo y compuesto, entonces 
siempre se pueden encontrar x ey. 

Para localizar un par de números satisfactorio, en primer lugar elegiremos un 
conjunto 

F = {po,Pi,...,Pt-i} 

formado por t números primos diferentes, con la salvedad de que po puede ser igual 
a —1. Buscaremos ahora ecuaciones en congruências con la forma 

x 2 = Zi (mód n) (5.11) 

tales que z, se pueda factorizar completamente a partir de los elementos de F. El si- 
guiente paso consiste en buscar un subconjunto de los z t tal que el producto de todos 
sus elementos, al que llamaremos z, sea un cuadrado perfecto. Puesto que tenemos 
la factorización de los z ir basta con escoger estos de forma que la multiplicidad de 
sus factores sea par. Este problema equivale a resolver un sistema de ecuaciones li- 
neales con coeficientes en Z 2 . Multiplicando los xf correspondientes a los factores de 
z escogidos, tendremos una ecuación dei tipo que necesitamos, y por lo tanto una 
factorización de n. 


Criba Cuadrática 

Este método se basa en emplear un polinomio de la forma 

q{x) = (x + m ) 2 — n 

siendo m = [\/nJ, donde |yrj representa la parte entera de x. Puede comprobarse que 

q{x) = x 2 + 2 mx + m 2 — n ~ x 2 + 2 mx 

es un valor pequeno en relación con n, siempre y cuando x en valor absoluto sea 
pequeno. Si escogemos Xi = a* + m y z, = g(a,), tendremos que se cumple la relación 
(5.11). 

Lo único que nos queda es comprobar si z* puede descomponerse totalmente con 
los elementos de F. Esto se consigue con la fase de criba, pero antes nos fijaremos en 
que si pi G F divide a q(x), también dividirá a q(x + kp ). Calcularemos la solución de 
la ecuación 

q{x) = 0 (mód p) (5.12) 
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obteniendo una o dos series —dependiendo dei número de soluciones que tenga la 
ecuación— de valores y tales que p divide a q(y). 

La criba propiamente dicha se lleva a cabo definiendo un vector Q[x], con — M < 
x < M, que se inicializa según la expresión Q[x\ = |_log |g(x)|J. Sean xi,x 2 las solu¬ 
ciones a (5.12). Entonces restamos el valor (log(p)J a aquellas entradas Q[x] tales que 
x sea igual a algún valor de las series de soluciones obtenidas en el paso anterior. Fi¬ 
nalmente, los valores de Q [x] que se aproximen a cero son los más susceptibles de ser 
descompuestos con los elementos de F, propiedad que se puede verificar de forma 
directa tratando de divididos. 


Criba dei Cuerpo de Números 

Hoy por hoy es el algoritmo de factorización más rápido que se conoce, y fue em- 
pleado con êxito en 1996 para factorizar un número de 130 dígitos decimales. Es una 
extensión de la criba cuadrática, que emplea una segunda base de factores, esta vez 
formada por polinomios irreducibles. Los detalles de este método de factorización 
requieren unos conocimientos algebraicos que escapan a los contenidos de este libro, 
por lo que se recomienda al lector que acuda a la bibliografia si desea conocer más a 
fondo este algoritmo de factorización. 


5.7. Tests de Primalidad 

Como ya hemos dicho, no es viable tratar de factorizar un número para saber si 
es o no primo, pero existen métodos probabilísticos que nos pueden decir con un alto 
grado de certeza si un número es o no compuesto. En esta sección veremos algunos 
de los algoritmos más comunes para verificar que un número sea primo. 

5.7.1. Método de Lehmann 

Es uno de los tests más sencillos para saber si un número p es o no primo: 

1. Escoger un número aleatorio a < p. 

2. Calcular b = a^” 1 ^ 2 (mód p). 

3. Si b 7 ^ 1 (mód p) y b ^ — 1 (mód p), p no es primo. 
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4. Si b = 1 (mód p) ó b = — 1 (mód p), la probabilidad de que p sea primo es 
igual o superior ai 50 %. 

Repitiendo ei algoritmo n veces, la probabilidad de que p supere ei test y sea 
compuesto — es decir, no primo— será de 1 contra 2 n . 

5.7.2. Método de Rabin-Miller 

Es ei algoritmo más empleado, debido a su facilidad de implementación. Sea p ei 
número que queremos saber si es primo. Se calcula b, siendo b ei número de veces 
que 2 divide a (p — 1), es decir, 2 b es la mayor potência de 2 que divide a (p — 1). 
Calculamos entonces m, tal que p = 1 + 2 b * m. 

1. Escoger un número aleatorio a < p. 

2. Sea j — 0 y z — a rn (mód p). 

3. Si z = 1, o z — p — 1, entonces p pasa ei test y puede ser primo. 

4. Si j > 0 y z = 1, p no es primo. 

5. Sea j — j + 1. Si j — b y z ^ p — 1, p no es primo. 

6. Sij<byzj^p — 1, z = z 2 (mód p). Volver ai paso (4). 

7. Si j < b y z — p — 1, entonces p pasa ei test y puede ser primo. 

8. p no es primo. 

La probabilidad de que un número compuesto pase este algoritmo para un nú¬ 
mero a es dei 25 %. Esto quiere decir que necesitaremos menos pasos para llegar ai 
mismo nivel de confianza que ei obtenido con ei algoritmo de Lehmann. 

5.7.3. Consideraciones Prácticas 

A efectos prácticos, ei algoritmo que se suele emplear para generar aleatoriamente 
un número primo p es el siguiente: 

1. Generar un número aleatorio p de n bits. 
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2. Poner a uno el bit más significativo —garantizamos que el número es de n bits — 
y el menos significativo —debe ser impar para poder ser primo—. 

3. Intentar dividir p por una tabla de primos precalculados (usualmente aquellos 
que sean menores que 2000). Esto elimina gran cantidad de números no primos 
de una forma muy rápida. Baste decir a título informativo que más dei 99.8 % 
de los números impares no primos es divisible por algún número primo menor 
que 2000. 

4. Ejecutar el test de Rabin-Miller sobre p como mínimo cinco veces. 

5. Si el test falia, incrementar p en dos unidades y volver al paso 3. 

5.7.4. Primos fuertes 

Debido a que muchos algoritmos de tipo asimétrico (ver capítulo 12) basan su 
potência en la dificultad para factorizar números enteros grandes, a lo largo de los 
anos se propusieron diversas condiciones que debían cumplir los números emplea- 
dos en aplicaciones criptográficas para que no fueran fáciles de factorizar. Se empezó 
entonces a hablar de números primos fuertes. 

Sin embargo, en diciembre de 1998, Ronald Rivest y Robert Silverman publicaron 
un trabajo en el que quedaba demostrado que no era necesario emplear primos fuertes 
para los algoritmos asimétricos. En él se argumentaba que la supuesta necesidad de 
números de este tipo surgió para dificultar la factorización mediante ciertos métodos 
—como por ejemplo, el método "p — 1" —, pero la aparición de técnicas más modernas 
como la de Lenstra, basada en curvas elípticas, o la criba cuadrática, hacía que se 
ganase poco o nada con el empleo de este tipo de números primos. 


5.8. Anillos de Polinomios 


Definición: Si tenemos un anillo conmutativo R, entonces un polinomio con varia- 
ble x sobre el anillo R tiene la siguiente forma 

f{x) = a n x n + a n _ ix n ~ l + • • • + a\X + a 0 

donde cada a, £ R y n > 0. El elemento a, se denomina coeficiente i-ésimo de /(./;), y 
el mayor m para el cual a m f 0 se denomina grado de f(x). Si f(x) = a 0 con a 0 f 0, 
entonces se dice que f(x) tiene grado 0. Si todos los coeficientes de f(x) valen 0, 
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se dice que el grado de f(x) es — oo. Finalmente, un polinomio se dice mónico si su 
coeficiente de mayor grado vale 1. 

Podemos definir las operaciones suma y producto de polinomios de la siguiente 
forma, siendo f(x) = a n x n + • • • + a 0 y g(x) = b m x m + ■ ■ ■ + b 0 : 

• Suma: f(x) + g(x ) = c r x r , donde c, = a* + 

■ Producto: f(x) ■ g(x) = Y^ c r x r , donde c* — Yh a jbk, tal que j + k — i. 

La suma de polinomios cumple las propiedades asociativa, conmutativa, elemen¬ 
to neutro y elemento simétrico, mientras que el producto cumple la asociativa, con¬ 
mutativa y elemento neutro. El conjunto de polinomios definidos en un anillo R, que 
notaremos R[x\, con las operaciones suma y producto, tiene en consecuencia estruc- 
tura de anillo conmutativo. 

Dados f(x),g(x) G R[x\, existen dos polinomios únicos c(x) y r(x), tales que 
f(x) = g(x)c(x)+r(x). Esta operación es la división de polinomios, donde c(x) desem- 
pena el papel de cociente, y r(x) el de resto, y tiene propiedades análogas a la de en- 
teros. Eso nos permite definir una aritmética modular sobre polinomios, igual que la 
que ya hemos definido para enteros. 

Definición: Se dice que g{x) es congruente con h(x) módulo f(x), y se nota 

g(x) = h(x) (mód f(x)) 


si 

g(x) = h(x) + k(x)f(x), para algún k(x) G R[x] 

Definición: Un polinomio f(x) en R\x] induce un conjunto de clases de equiva¬ 
lência de polinomios en R[x], donde cada clase posee al menos un representante de 
grado menor que el de f(x). La suma y multiplicación pueden llevarse a cabo, por 
tanto, módulo f(x), y tienen estructura de anillo conmutativo. 

Definición: Décimos que un polinomio f(x) G R[x] de grado mayor o igual a 1 es 
irreducíble si no puede ser puesto como el producto de otros dos polinomios de grado 
positivo en R[x]. 

Aunque no lo demostraremos aqui, se puede deducir que si un polinomio es irre- 
ducible, el conjunto de clases de equivalência que genera tiene estructura de cuerpo. 
Nótese que en este caso, el papel que desempenaba un número primo es ahora ocu¬ 
pado por los polinomios irreducibles. 
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5. Aritmética Modular 


5.8.1. Polinomios en Z n 

Puesto que, como ya sabemos, Z„ es un anillo conmutativo, podemos definir el 
conjunto Z n [x] de polinomios con coeficientes en Z n . 

Vamos a centramos ahora en el conjunto Z 2 [x]. En este caso, todos los coeficientes 
de los polinomios pueden valer únicamente 0 ó 1, por lo que un polinomio puede ser 
representado mediante una secuencia de bits. Por ejemplo, /(x) = x 3 + x + 1 podría 
representarse mediante el número binário 1011, y g(x) = x 2 + 1 vendría dado por el 
número 101. 

Podemos ver que /(x) + g(x) = x 3 + x 2 + x, que viene dado por el número 1110. 
Puesto que las operaciones se realizan en Z 2 , esta suma podría haber sido realizada 
mediante una simple operación or-exclusivo entre los números binários que repre- 
sentan a /(x) y g(x). Como vemos, seria muy fácil implementar estas operaciones 
mediante hardware, y ésta es una de las principales ventajas de trabajar en Z 2 [x]. 

Si escogemos un polinomio irreducible en Z 2 , podemos generar un cuerpo finito, 
o sea, un cuerpo de Galois. Dicho conjunto se representa como GF( 2 n ), siendo n el 
grado dei polinomio irreducible que lo genera, y tiene gran importância en Cripto¬ 
grafia, ya que algunos algoritmos de cifrado simétrico, como el estándar de cifrado 
AES, se basan en operaciones en GF(2 n ) (ver sección 10.5). 

A modo de ejemplo, veamos cómo funciona la operación producto dentro de estos 
conjuntos. Tomemos el polinomio f(x) = x 8 + x 4 + x 3 + x + 1, que es irreducible en 
Z 2 [x], y genera un cuerpo de Galois GF( 2 8 ). Vamos a multiplicar dos polinomios: 

(x 5 + x) • (x 4 + x 3 + x 2 + 1) = x 9 + x 8 + x 7 + x 5 + x 5 + x 4 + x 3 + X = 

= X 9 + X 8 + x‘ + x 4 + X 3 + X 

Nótese que x 5 + x 5 = 0, dado que los coeficientes están en Z 2 . Ahora hemos de tomar 
el resto módulo /(x). Para ello emplearemos el siguiente truco: 

x 8 + x 4 + x 3 + x + 1 = 0 (mód /(x)) ==>- x 8 = x 4 + x 3 + x + 1 (mód /(x)) 

luego 

X 9 + X 8 + X 7 + x 4 + X 3 + X = x(x 8 ) + X 8 + X 7 + x 4 + X 3 + X = 

= x(x 4 + X 3 + X + 1) + (x 4 + X 3 + X + 1) + X 7 + x 4 + X 3 + X = 

= X 5 + x 4 + x 2 + X + x 4 + X 3 + X + 1 + X 7 + x 4 + X 3 + X = 

= x 7 + x 5 + x 4 + x 4 + x 4 + x 3 + x 3 + x 2 + X + X + X + 1 = 

= X 7 + X 5 + x 4 + x 2 + X + 1 

La ventaja esencial que posee este tipo de conjuntos es que permite llevar a cabo 
implementaciones muy sencillas y paralelizables de los algoritmos aritméticos. En 
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realidad, aunque el orden de complejidad sea el mismo, se logra multiplicar la velo- 
cidad por una constante y simplificar el diseno de los circuitos, por lo que se obtienen 
sistemas con mayores prestaciones, y a la vez más baratos. 

5.9. Ejercicios Resueltos 

1. Comprobar las propiedades de la suma en grupos finitos. 

Solución: La suma en grupos finitos cumple las propiedades conmutativa y aso- 
ciativa, además de la existência de elementos neutro y simétrico. Tendremos en 
cuenta que: 

a = b (mód n) 3k G Z tal que a — b + k ■ n 

■ Propiedad conmutativa: Puesto que a + b = b + a, tenemos que 

a + b — b + a + k- n si k — 0, luego 
a + b = b + a (mód n) 

■ Propiedad asociativa: Puesto que a + (6 + c) = (a + b) + c, tenemos que 

a + (b + c) — (a + b) + c + k ■ n si k — 0, luego 

a + (b + c) = (a + b) + c (mód n) 

■ Elemento neutro: Trivialmente, 

a + 0 = a + k ■ n si k — 0, luego 
a + 0 = a (mód n) 

por lo tanto, 0 es el elemento neutro para la suma. 

■ Elemento simétrico: Sea a e y b = n — a, tenemos 

a + b — a+ (n — a) — k ■ n si k — 1, luego 
a + b = 0 (mód n) 

por tanto, b es el inverso de a para la suma. 
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2. Comprobar las propiedades dei producto en grupos finitos. 

Solución: El producto en grupos finitos cumple las propiedades conmutativa y 
asociativa, además de la existência de elemento neutro. Tendremos en cuenta, 
al igual que en el ejercicio anterior, que: 

a = b (mód ri) •<=>■ 3k 6 Z tal que a = b + k ■ n 

■ Propiedad conmutativa: Puesto que a ■ b = b ■ a, tenemos que 

a-b = b- a + k- n si k — 0, luego 
a ■ b = b ■ a (mód n) 

■ Propiedad asociativa: Puesto que a ■ (b ■ c) = (a ■ b) ■ c, tenemos que 

a ■ (b ■ c) = (a ■ b) ■ c + k ■ n si k — 0, luego 

a ■ (b ■ c) = (a ■ b) ■ c (mód n) 

■ Elemento neutro: Trivialmente, 

a ■ 1 = a + k ■ n si k = 0, luego 
a ■ 1 = a (mód n) 

por lo tanto, 1 es el elemento neutro para el producto. 

3. Calcular el valor de la función </> de Euler para los siguientes números: 64, 611, 
2197,5,10000. 

Solución: Para calcular el valor de la función cf) emplearemos la expresión (5.2): 


64 = 2 6 
611 = 13-47 
2197 = 13 3 
5 es primo 
10000 = 2 4 • 5 4 


0(64) = 2 5 • (2 - 1) = 32 

0(611) = (13 - 1) • (47 - 1) = 552 

0(2197) = 13 2 • 12 = 2028 

0(5) = 5-1=4 

0(10000) = 2 3 • 1 • 5 3 ■ 4 = 4000 


4. Resolver el siguiente sistema de ecuaciones en congruências: 

x = 12 (mód 17) 
x = 13 (mód 64) 
x = 8 (mód 27) 
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Solución: Emplearemos la expresión (5.6) para resolver el sistema: 

x = 12 (mód 17) 
x = 13 (mód 64) 
x = 8 (mód 27) 

Puesto que n = 17 • 64 • 27 = 29376, tenemos 

x = (29376/17) [1728" 1 (mód 17)] • 12+ 

+ (29376/64)(459- 1 (mód 64)) • 13+ 

+ (29376/27)(1088- 1 (mód 27)) • 8 

Calculamos ahora las inversas: 


1728 = 11 

(mód 17), 

ll- 1 

(mód 17) 

= 14 

459 = 11 

(mód 64), 

ll- 1 

(mód 64) 

= 35 

1088 = 8 

(mód 27), 

8 _1 

(mód 27) 

= 17 


Sustituyendo los valores, nos queda 

x = 1728 • 14 ■ 12 + 459 ■ 35 • 13 + 1088 • 17 ■ 8 = 647117 = 845 (mód 29376) 

5. ,;Cómo calcularia el valor de (2 10368 mód 187), empleando únicamente lápiz, pa¬ 
pel y calculadora? 

Solución: Para calcular el valor de (2 10368 mód 187), se puede emplear el algorit¬ 
mo de exponenciación rápida (apartado 5.4.1): 


r = 

1 



z = 

10368 

x = 

2 



r = 

1 



z = 

5184 

x = 

4 



r = 

1 



z = 

2592 

X = 

16 



r = 

1 



z = 

1296 

X = 

256 

(mód 187) 

= 69 

r = 

1 



z = 

648 

X = 

4761 

(mód 187) 

= 86 

r = 

1 



z = 

324 

X = 

7396 

(mód 187) 

= 103 

r = 

1 



z = 

162 

X = 

10609 

(mód 187) 

= 137 

r = 

1 



z = 

81 

X = 

18769 

(mód 187) 

= 69 

r = 

69 



z = 

40 

X = 

4761 

(mód 187) 

= 86 

r = 

69 



z = 

20 

X = 

7396 

(mód 187) 

= 103 

r = 

69 



z = 

10 

X = 

10609 

(mód 187) 

= 137 

r = 

69 



z = 

5 

X = 

18769 

(mód 187) 

= 69 

r = 

4761 

(mód 187) 

= 86 

z = 

2 

X = 

4761 

(mód 187) 

= 86 

r = 

86 



z = 

1 

X = 

7396 

(mód 187) 

= 103 

r = 

8858 

(mód 187) 

= 69 
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6. Calcule la suma y el producto de los polinomios correspondientes a los números 
binários 100101 y 1011, dentro dei GF( 2 6 ) definido por el polinomio irreducible 

f(x) = x 6 + x + 1. 

Solución: Para calcular la suma, es suficiente con aplicar un or-exclusivo entre 
ambos, por lo tanto: 

100101 © 1011 = 101110 = x 5 + x 3 + x 2 + x 


En cuanto al producto, tenemos lo siguiente: 

(. x 5 + x 2 + 1) (x 3 + X + 1) = X 8 + X 6 + X 5 + X 5 + X 3 + x 2 + X 3 + X + 1 

= X 8 + X 6 + x 2 + X + 1 


Ahora nos queda calcular el módulo x 6 + x + l. Para ello aplicaremos la propie- 
dad 

x 6 + x + 1 = 0 =>- x 6 = x + 1 

que nos deja 

X 8 + X 6 + x 2 + X + 1 = x 2 ■ X 6 + X 6 + x 2 + X + 1 = 

= x 2 (x + l) + (x + l) + x 2 + x + l = x 3 + x 2 + x + l J rx 2 + x + l = 

= X 3 


5.10. Ejercicios Propuestos 

1. Calcule el valor de la función <fi de Euler para los números: 1024, 748, 5000. 

2. Resuelva el siguiente sistema de ecuaciones en congruências: 

x = 1 (mód 13) 
x = 2 (mód 24) 
x = 20 (mód 125) 

3. Calcule el valor de 3 50000 (mód 211). 

4. Calcule la suma y el producto de los polinomios correspondientes a los números 
binários 100011 y 10011, dentro dei GF( 2 6 ) definido por el polinomio irreducible 

f(x) — x 6 + x + 1. 
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Capítulo 6 

Curvas Elípticas en Criptografia 


La Criptografia de Curva Elíptica es una de las disciplinas más prometedoras en 
el campo de los cifrados asimétricos. Las curvas elípticas constituyen un formalismo 
matemático conocido y estudiado desde hace más de 150 anos, y presentan una serie 
de propiedades que da lugar a problemas difíciles (ver sección 5.4) análogos a los 
que presentaba la aritmética modular, lo cual las hace válidas para aplicar algunos 
de los algoritmos asimétricos más conocidos (ver capítulo 12). Si bien su estructura 
algebraica es algo compleja, su implementación suele resultar tanto o más eficiente 
que la aritmética modular, y además con claves mucho más cortas se puede alcanzar 
el mismo nivel de seguridad que con otras técnicas. 

Las primeras propuestas de uso de las curvas elípticas en Criptografia fueron he- 
chas por Neal Koblitz y Victor Miller en 1985. Precisamente el principal argumento 
que esgrimen los detractores de estas técnicas es que, si bien las curvas elípticas han 
sido objeto de estúdio y análisis durante más de un siglo, las propiedades que pueden 
estar directamente relacionadas con su calidad como base para un sistema criptográ¬ 
fico, apenas llevan quince anos siendo consideradas. 

Para introducir el concepto de Curva Elíptica, vamos a establecer un paralelis¬ 
mo con otro formalismo mucho más cercano e intuitivo: los números enteros. Como 
ya vimos en el capítulo 5, los números enteros constituyen un conjunto sobre el que 
podemos definir una serie de operaciones, con unas propiedades concretas. Estos 
conjuntos y operaciones presentan una estructura que hace surgir problemas compu¬ 
tacionalmente difíciles de tratar. Vamos a hacer exactamente lo mismo con las curvas 
elípticas. 
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Figura 6.1: Gráficas de curvas elípticas, a) y 2 = x 3 — 5x + 1; b) y 2 = x 3 — 3x + 4. 


6.1. Curvas Elípticas en M 


Definición: Una curva elíptica sobre R es ei conjunto de puntos dei plano (x, y ) que 
cumplen la siguiente ecuación: 


y 2 = x 3 + ax + b 


( 6 . 1 ) 


Los coeficientes ay b caracterizan univocamente cada curva. En la figura 6.1 puede 
verse la representación gráfica de dos de ellas —nótese que la curva se extenderá 
hacia la derecha hasta el infinito—. 

Si x 3 + ax + b no tiene raíces múltiples, lo cual es equivalente a que 4a 3 + 27 b 2 0, 
entonces la curva correspondiente, en conjunción con un punto especial O, llamado 
punto en el infinito, más la operación suma que definiremos más adelante, es lo que 
vamos a denominar grupo de curva elíptica E(M). Hay que recalcar que O es un punto 
imaginado situado por encima dei eje de abscisas a una distancia infinita, y que por 
lo tanto no tiene un valor concreto. 


Manuel J. Lucena López 


Criptografia y Seguridad en Computadores 














6.1. Curvas Elípticas en M. 


95 


6.1.1. Suma en E(R) 

Ya tenemos un conjunto sobre el que trabajar. Nuestro siguiente paso será definir 
una ley de composición interna que, dados dos elementos cualesquiera, nos devuel- 
va otro que también pertenezca al conjunto. Denominaremos suma a esta operación 
y la representaremos mediante el signo de forma totalmente análoga a lo que 
hacíamos con Z. 

Sean los puntos r = (r x ,r y ), s = (s x ,s y ), p = (p x ,p y ), t = (t x ,t y ) G E(R), la 

operación suma se define de la siguiente forma: 

■ r + O = O + r — r, sea cual sea el valor de r. Esto quiere decir que O desempena 
el papel de elemento neutro para la suma. 

■ Si r x = s x y r y = — s y , décimos que r es el opuesto de s, escribimos r = — s, y 
además r + s = s + r = (9 por definición. 

■ Sir^syr^ — s, entonces para sumários se traza la recta que une r con s. Dicha 
recta cortará la curva en un punto. La suma t de r y s será el opuesto de dicho 
punto (ver figura 6.2a). 

■ Para sumar un punto p consigo mismo, se emplea la tangente a la curva en p. Si 
p y 7 ^ 0, dicha tangente cortará a la curva en un único punto. La suma t = p + p 
será el opuesto de dicho punto (ver figura 6.2b). 

■ Para sumar un punto p consigo mismo, cuando p y = 0, la tangente a la curva 
será perpendicular al eje de abscisas, por lo que podemos considerar que corta 
a la curva en el infinito. Por lo tanto, p f p = (!) si p y = 0. 

Por razones de simplicidad en la notación diremos que sumar un punto p consigo 
mismo k veces, es como multiplicar dicho punto por el escalar k, y lo notaremos kp 

Nótese que, cuando se suma r y — r, la recta que los une resulta perpendicular al 
eje de abcisas, por lo que cortará a la curva en el infinito, dando como resultado O. 
Compruébese, además, que cuando r y = 0, se cumple: 

2r = r + r = O 
3r = 2r + r = 0 + r = r 
4r = 3r + r = r + r = O 


Algebraicamente, la suma de curvas elípticas se define de la siguiente forma: Sea 
r = (r x , r y ) y s = (s x , s y ), donde r ^ — s, entonces r + s = t donde 
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Figura 6.2: Interpretación gráfica de la suma de dos puntos en una curva elíptica. 


d= r JL^L, 


t x = d 2 


ty = -r y + d(r x - t x ) 


( 6 . 2 ) 


y cuando queremos sumar un punto consigo mismo, tenemos que 2p = t donde 


_ 3 p 2 x + a 
2Py 5 


t X d 2 Pxi ty py ~\~ d(p x t x ^j 


(6.3) 


Si nos fijamos un poco, podremos observar que d representa a la pendiente de la 
recta que une r y s, o bien a la tangente en el punto p. 

Obsérvese que cuando introdujimos los grupos finitos en TL, seleccionábamos un 
subconjunto de elementos de Z y definíamos la operación suma, junto con sus pro- 
piedades, para este subconjunto. Con las curvas elípticas hemos hecho exactamente 
lo mismo, sólo que el subconjunto es extraído dei plano M 2 y la operación suma es 
ligeramente más complicada. 
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6.2. Curvas Elípticas en GF(n) 

Recordemos que un cuerpo de Galois GF(n ) es el grupo finito generado por n, 
siendo n un número primo. En dicho conjunto todos los elementos menos el cero 
tienen inversa, por lo que podemos sumar, restar, multiplicar y dividir exactamente 
de la misma forma que en M. Nada nos impide entonces calcular qué puntos cumplen 
la ecuación 

y 2 = x 3 + ax + b (mód n) 

definiendo de esta forma el conjunto E(GF(n)). 

A modo de ejemplo, vamos a estudiar la curva elíptica con a = 7yò = 4en 
GF(17). En primer lugar, habremos de comprobar, igual que antes, que 4a 3 + 27ò 2 ^ 0: 

4 • 7 3 + 27 • 4 2 = 2 (mód 17) 

Seguidamente, vamos a ver qué puntos pertenecen a la curva elíptica. Si hacemos los 
cálculos pertinentes, tenemos los siguientes: 

(0,2) (0,15) (2,3) (2,14) (3,1) (3,16) 

(11,1) (H/16) (15,4) (15,13) (16,8) (16,9) 

Nótese que dado un punto de la curva (x, y ), el valor (x, —y) (mod n) también 
pertenece a ésta. Calculemos ahora la suma de dos puntos cualesquiera, por ejemplo 
(2, 3) y (3,16), empleando la expresiones de (6.2): 

d= (3 — 16)/(2 — 3) = 13 (mód 17) 
x = 13 2 - 2 - 3 = 11 (mód 17) 
y = -3 + 13 • (2 - 11) = 16 (mód 17) 

luego (2, 3) + (3,16) = (11,1). Como cabría esperar, nos da como resultado un punto 
que también pertenece a la curva. 


6.3. Curvas Elípticas en GF(2 n ) 

Vamos a dar un paso más. Como ya se vio en la sección 5.8.1, los elementos de 
GF(p n ) —y las operaciones entre ellos— presentan unas propiedades análogas a las 
de los elementos de GF(n ), con la característica anadida de que, cuando p — 2, la 
implementación de los algoritmos correspondientes es más sencilla y rápida. Defini¬ 
remos entonces, de forma análoga a E(GF(n )), el conjunto E(GF( 2 n )). 
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6. Curvas Elípticas en Criptografia 


En GF(2 n ), debido a su especial estmctura, la ecuación de curva elíptica que será 
útil para nuestros propósitos es ligeramente diferente a la dada en (6.1). Dado un 
polinomio irreducible p(x), de grado n, las curvas elípticas asociadas vienen dadas 
por los puntos que cumplen la ecuación: 

y 2 + xy = x 3 + ax 2 + b (mód p(x)) (6.4) 

y la única condición necesaria para que genere un grupo es que 6 ^ 0 . 

Dentro de GF{2 n ), los puntos de nuestra curva van a ser pares de polinomios de 
grado n — 1 con coeficientes binários, por lo que podrán ser representados mediante 
cadenas de bits. 


6.3.1. Suma en E{GF{ 2 n )) 

Sean los puntos r = (r x ,r y ), s = (s x ,s y ), p = (p x ,p y ), t = (t x ,t y ) £ E(GF( 2 n )), la 

operación suma se define de la siguiente forma: 

■ r + 0 = 0 + r = r, sea cual sea el valor de r. 

■ Si r x = s x y r y = s x + s yr décimos que r es el opuesto de s, escribimos r = —s, y 
además r + s = s + r = (9 por definición. 

■ Sir^syr^ —s, la suma t = r + s se calcula de la siguiente forma: 

s — V 

d j t>x d ~\~ d ~\~ vx s x cl ^ ty d{r x ~\~ tx) H - 'Cy 

Sx T x 

■ Para calcular la suma t = 2p, con p x 7 ^ 0, se emplea la siguiente fórmula: 

d — Px H“ —— ] t x — d ^ d cl\ ty — p 2 + (á H“ 1 )í x 

Px 

■ Finalmente, si p x = 0, 2p = O. 

6.4. El Problema de los Logaritmos Discretos en Curvas 
Elípticas 

Tomemos un punto p cualquiera de una curva elíptica. Denominaremos (p) al 
conjunto [O, p, 2p, 3p,... (. En E(GF(n )) y E(GF( 2 m )) los conjuntos de esta natura- 
leza deberán necesariamente ser finitos, ya que el número de puntos de la curva es 
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finito. Por lo tanto, si disponemos de un punto q 6 (p), debe existir un número entero 
k tal que kp = q. 

El Problema de los Logaritmos Discretos en Curvas Elípticas consiste precisamente en 
hallar el número k a partir de p y q. Hasta ahora no se ha encontrado ningún algorit¬ 
mo eficiente (subexponencial) para calcular el valor de k. Al igual que los descritos 
en la sección 5.4, este problema puede ser empleado con êxito para el desarrollo de 
algoritmos criptográficos de llave pública. 


6.5. Ejercicios Resueltos 

1. Se denomina raiz de un polinomio p(x ) a los valores de x tales que p(x) = 0. Las 
raíces r* de un polinomio tienen la propiedad de que el polinomio Pi{x) = x — r* 
divide a p(x). Una raiz es múltiple, y su multiplicidad es m, si el polinomio 
(pi(x)) m divide a p(x). Por lo tanto, si el polinomio e(x) = x 3 +ax + b tiene raíces 
múltiples, debe poder escribirse de la forma 

x 3 + ax + b = (x — q) 2 (x — r) 

Demuestre, a partir de la expresión anterior, que 4a 3 + 27Ir = 0 es condición 
suficiente para que e(x) tenga raíces múltiples. 

Solución: Partiendo de la expresión 

x 3 + ax + b = (x — q) 2 (x — r ) 

desarrollaremos el segundo término: 


/ .. Q , \ /0 0 \ / \ ^ O 00 O 

(x — q) (x — r) = (x — 2 qx + q )(x — r) — x — 2 qx — rx + q x + 2 qrx — q r 

Igualando los coeficientes dei mismo grado tenemos las siguientes relaciones: 

0 = —2 q — r 

a = q 2 + 2 qr 
b = q 2 r 

Despejando r en la primera igualdad y sustituyendo su valor en las dos restan¬ 
tes se obtiene 
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a = —3 q 2 
b = —2 q 3 

Elevando ai cuadrado la primera expresión y al cubo la segunda, podemos des¬ 
pejar q 6 en ambas e igualar: 


Q 


6 



h l 

I 


Para que el sistema de ecuaciones tenga solución, la igualdad anterior debe 
cumplirse; si la desarrollamos, finalmente nos queda 


-27 


h l 

4 


4a 3 = -27 b 2 


4 a 3 + 27 b 2 = 0 


2. En el ejemplo de la sección 6.2, calcule el conjunto (p) con p = (11,16). 

Solución: Emplearemos la expresión (6.3) para calcular 2p y (6.2) para el resto: 


■ 2p = p + p: 


d 

tx 

ty 

Por lo tanto, 

■ 3p = 2p + p: 

d 

tx 

ty 

Por lo tanto. 


(3 • ll 2 + 7)/(2 • 16) 
4-22 

-16 + 2 • (11 - 16) 


2p = (16, 8) 


(16 — 8)/(11 — 16) 
8-11-16 
-16 + 12- (11- 15) 


3p = (15,4) 


2 

16 

8 


12 

15 

4 


Aplicando los cálculos de forma sucesiva, tenemos que 

(p) = (0,(11,16), (16,8), (15,4), (0,2), (2,14), (3,16), 

(3,1),(2,3),(0,15),(15,13),(16,9),(11,1)} 

Como se puede observar, en este caso (p) contiene todos los puntos de la curva 
elíptica en cuestión. 
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6.6. Ejercicios Propuestos 

1. Sea el grupo GF{ 2 3 ) generado por el polinomio x 3 + x + 1. Calcule los puntos 
que pertenecen a la curva elíptica con parâmetros a = 100 y b = 010. 

2. Compruebe geométricamente las propiedades asociativa y conmutativa de la 
suma en E(M). 
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Capítulo 7 

Aritmética Entera de Múltiple 
Precisión 


En este capítulo daremos una serie de nociones básicas y algoritmos sobre aritmé¬ 
tica entera de múltiple precisión, disciplina que ha cobrado un gran interés debido 
ai uso extensivo que hacen de ella sobre todo los algoritmos asimétricos de cifrado y 
autentificación. 


7.1. Representación de enteros largos 


Llamaremos número largo a aquel que posee gran cantidad de dígitos significati¬ 
vos, normalmente más de los que los tipos de dato convencionales de los lenguajes 
de programación clásicos pueden soportar. En este apartado vamos a indicar cómo 
representarlos y operar con ellos empleando tipos de dato de menor precisión. 

Todos conocemos la representación tradicional en base 10 de los números reales, 
en la que cada cifra contiene únicamente valores de 0 a 9. Esta representación no es 
más que un caso particular (B = 10) de la siguiente expresión general: 


n = (-) ^ üíB 1 


donde los términos con índice negativo corresponden a la parte no entera ( decimal ) 
dei número real n. Sabemos que, dado el valor de B, dicha representación es única, y 
que significa que n en base B se escribe: 
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( • • • a 0 .a_1 . . . 

Donde cada a* está comprendido entre 0 y B — 1. Por ejemplo, en base 10, el número 
3,1415926 correspondería a la expresión: 

3 • 10° + 1 • 10 _1 + 4 • 10“ 2 + 1 • 10“ 3 + 5 • 10~ 4 + 9 • IO" 5 + 2 • 10~ 6 + 6 • 1(T 7 

En cualquier caso, puesto que nuestro objetivo es representar únicamente núme¬ 
ros enteros positivos, prescindiremos dei signo y de los términos con subíndice nega¬ 
tivo. 

Cualquier número vendrá representado por una serie única de coeficientes a* (ci¬ 
fras), de las que importa tanto su valor como su posición dentro dei número. Esta es- 
tructura corresponde claramente a la de un vector ( array ). Para representar de forma 
eficiente enteros largos emplearemos una base que sea potência de dos (normalmente 
se escoge B = 2 16 ó B = 2 32 para que cada cifra de nuestro número se pueda almace- 
nar en un dato dei tipo unsigned int sin desperdiciar ningún bit). Para almacenar 
los resultados parciales de las operaciones aritméticas emplearemos un tipo de dato 
de doble precisión (unsigned long int, correspondiente a B = 2 32 ó B = 2 64 ) de 
forma que no se nos desborde al multiplicar dos cifras. Normalmente se escoge una 
longitud que pueda manejar directamente la ALU (Unidad Aritmético-Lógica) de la 
computadora, para que las operaciones elementales entre cifras sean rápidas. 

Por todo esto, para nosotros un número entero largo será un vector de unsigned 
int. En cualquier caso, y a partir de ahora, nuestro objetivo será estudiar algoritmos 
eficientes para efectuar operaciones aritméticas sobre este tipo de números, indepen- 
dientemente de la base en la que se encuentren representados. 


7.2. Operaciones aritméticas sobre enteros largos 

Vamos a describir en este apartado cómo realizar operaciones aritméticas (suma, 
resta, multiplicación y división) de enteros largos. 


7.2.1. Suma 


La suma de a = (a 0 , a i... a n _i) y b = (ò 0 , b\ ■ ■ 


(a + b)i 


(ai + bi + Ci) mód B 

Ci 


6„_i) se puede definir como: 

para i — 0 ... n — 1 
para i — n 
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siendo 


_ J 0 para i — 0 

| (ai- 1 + bi-i + Ci- 1 ) div B para ?' = 1... n 

Ci es el acarreo de la suma de los dígitos inmediatamente anteriores. Tenemos en cuen- 
ta el coeficiente n de la suma porque puede haber desbordamiento, en cuyo caso la 
suma tendría n +1 dígitos y su cifra más significativa seria precisamente c n . Este no es 
otro que el algoritmo clásico que todos hemos empleado en la escuela cuando hemos 
aprendido a sumar. 

El algoritmo para la suma quedaria, pues, como sigue: 


suma (unsigned *a, unsigned *b, unsigned *s) 

{ unsigned long sum; 
unsigned acarreo; 

n=max(num. de digitos de a, num. de digitos de b) 

acarreo=0 ; 

for (i=0;i<n;i++) 

{ sum=acarreo+a[i]+b[i]; 
s[i]=sum%BASE; 
acarreo=sum/BASE; 

} 

s[n]=acarreo; 


El resultado se devuelve en s. 


7.2.2. Resta 

La resta es muy parecida a la suma, salvo que en este caso los acarreos se restan. 
Suponiendo que a > b: 


(a — b)i = (a, — bi — r,) mód B para i — 0... n — 1 


siendo 
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n = 


0 para i — 0 

1 — ( (cq_ i — 6j_ i — rj_i + B ) div ü') para i = 1 ... n 


r, representa el acarreo de la resta ( borrozv ), que puede valer 0 ó 1 según la resta parcial 
salga positiva o negativa. Nótese que, como a > b, el último acarreo siempre ha de 
valer 0. 


resta (unsigned *a, unsigned *b, unsigned *d) 
{ unsigned long dif; 
unsigned acarreo; 


n=max(num. de digitos de a, num. de digitos de b) 

acarreo=0; 

for (i = 0;i<n;i + +) 

{ dif=a[i]-b[i]-acarreo+BASE; 
d[i]=dif%BASE; 
acarreo=l-dif/BASE; 

} 

} 


El resultado se devuelve en d. La razón por la que sumamos la base a di f es para 
que la resta parcial salga siempre positiva y poder hacer el módulo correctamente. 
En ese caso, si el valor era positivo, al sumarie B y dividir por B de nuevo nos que¬ 
da 1. Si fuera negativo, nos saldría 0. Por eso asignamos al nuevo acarreo el valor 

1—dif/BASE. 

Nos queda comprobar cuál de los dos números es mayor para poder emplear- 
lo como minuendo. Esta comprobación se puede realizar fácilmente definiendo una 
función que devuelva el número cuyo dígito más significativo tenga un número de 
orden mayor. En caso de igualdad iríamos comparando dígito a dígito, empezando 
por los más significativos hasta que encontremos alguno mayor o lleguemos al último 
dígito, situación que únicamente ocurrirá si los dos números son iguales. 

7.2.3. Producto 

Para obtener el algoritmo dei producto emplearemos la expresión general de un 
número entero positivo en base B. Si desarrollamos el producto de dos números cua- 
lesquiera ay b de longitudes m y n respectivamente nos queda: 
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m— 1 

ab = a,iB l b 

i =0 

A la vista de esto podemos descomponer el producto como m llamadas a una función 
que multiplica un entero largo por clíB 1 (es decir, un entero largo con un único dígito 
significativo) y después sumar todos los resultados parciales. 

Para poder implementar esto primero definiremos una función (summult) que 
multiplique b por a,B' y el resultado se lo sume al vector s, que no tiene necesaria- 
mente que estar a cero: 



La segunda parte de la función se encarga de acumular los posibles acarreos en el 
vector s. A partir de la función que acabamos de definir, queda entonces como sigue: 
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p[k]=0; 

for (k=0;k<m;k++) 

summult(a[k],k,b,n,p); 

} 


El resultado se devuelve en p. 

Existe otra propiedad de la multiplicación de enteros que nos va a permitir efec- 
tuar estas operaciones de manera más eficiente. Tomemos un número entero cual- 
quiera a de k dígitos en base B. Dicho número puede ser representado mediante la 
de la siguiente expresión: 


a = ciiB 2 + a r 


Es decir, partimos a en dos mitades. Por razones de comodidad, llamaremos B k a 
B 2 . Veamos ahora cómo queda el producto de dos números cualesquiera ay b, en 
función de sus respectivas mitades: 


ab = aibiBl + (a/6 r + a r bi)B k + a r b r 


Hasta ahora no hemos aportado nada nuevo. El tnico para que este desarrollo nos 
proporcione un aumento de eficiência consiste en hacer uso de la siguiente propie¬ 
dad; 


aib r T a r bi — aib r T a r bi T aibi — aibi T a r b r — a r b r — (cii T o r )(ò; T ò r ) — aibi — a r b r 


quedando finalmente, lo siguiente: 


x = aibi y = (ai + a r )(bi + b r ) z = a r b r 
ab = xBl + (y — x — z)B k + z 

Hemos reducido los cuatro productos y tres sumas dei principio a tres productos 
y seis sumas. Como es lógico, esta técnica debe emplearse dentro de una estratégia 
divide y vencerás. 
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7.2.4. División 

El algoritmo más simple para dividir dos números se consigue a partir de su re- 
presentación binaria: 


cociente_bin(unsigned *c, unsigned *d, unsigned *a, unsigned *b) 

{ /* 

Calcular a= c div d 
b= c mod d 

Bits_Significativos(x) => Devuelve el numero de bits 

significativos de x, es decir, el 
numero total de bits menos el numero 
de ceros a la derecha. 

pow(a,b) => Calcula el valor de a elevado a b. 

Poner_bit_a_l(a,x) => Pone a 1 el i-esimo bit de a. 
Poner_bit_a_0 (a,x) => Pone a 0 el i-esimo bit de a. 

*/ 

m=Bits_Significativos(c) ; 
n=Bits_Significativos(d) ; 
b=c; 
a=0; 

dl=d*pow(2,m-n); /* Desplazamos a la izquierda d */ 

for (i=m-n;i>=0;i—) 

{ if (b>dl) 

{ Poner_bit_a_l(a,i); 
b=b-dl; 

} 

else Poner_bit_a_0 (a,i); 
dl=dl/2; 

} 


El funcionamiento dei algoritmo es extremadamente simple: copiamos el dividen¬ 
do en b y desplazamos a la izquierda el divisor hasta que su longitud coincida con 
la dei dividendo. Si el valor resultante es menor que b, se lo restamos y ponemos a 
1 el bit correspondiente de a. Repitiendo esta operación sucesivamente se obtiene el 
cociente en a y el resto en b. A modo de ejemplo, dividiremos 37 (100101) entre 7 
( 111 ): 

1.6=100101; q =-; dl = 111000; 6 j. dl — *o = 0- 
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2. b = 100101; a = 0-; dl = 11100; b > dl —> a = 01 - 

3. b = 001001; a = 01 - -; dl = 1110; b ^ dl —> a = 010- 

4. b = 001001; a = 010—; dl = 111; b > dl —> a = 0101 

5. 6 = 010 

Este algoritmo resulta muy lento, ya que opera a nivel de bit, por lo que intenta¬ 
remos encontrar otro más rápido —aunque con el mismo orden de eficiência—. Nos 
basaremos en el algoritmo tradicional de la división. Suponiendo que queremos di¬ 
vidir c por d, obteniendo su cociente (a) y resto (6), iremos calculando cada dígito dei 
cociente en base B de un solo golpe. Nuestro objetivo será estimar a la baja el valor 
de cada uno de los dígitos a, e incrementado hasta alcanzar el valor correcto. Para 
que la estimación se quede lo más cerca posible dei valor correcto efectuaremos una 
normalización de los números, de forma que el dígito más significativo d tenga su bit 
de mayor peso a 1. Esto se consigue multiplicando c y d por 2 k , siendo k el número de 
ceros a la izquierda dei bit más significativo dei divisor d. Posteriormente habremos 
de tener en cuenta lo siguiente: 


c = ad + b <=* 2 k c = a(2 k d) + 2 k b 

luego el cociente será el mismo pero el resto habrá que dividido por el factor de 
normalización. Llamaremos c,d a los valores de c y d normalizados. 

Para hacer la estimación a la baja de los a ir dividiremos CjB + c,_i por d m + 1 [c 3 
es el dígito más significativo de c en el paso i, y d rn es el dígito más significativo de 
d). Luego actualizamos c con c — da.iB 1 y vamos incrementando a, (y actualizando c) 
mientras nos quedemos cortos. Finalmente, habremos calculado el valor dei cociente 
(a) y el valor dei resto será 



El algoritmo podría quedar como sigue: 


cociente(unsigned *c, unsigned *d, unsigned *a, unsigned *b) 
{ 

/* Calcular a= c div d 
b= c mod d 
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Digito_Mas_Significativo(a) => Devuelve el valor dei 

digito de mayor peso de a. 

Bits_Significativos(x) => Devuelve el numero de bits 

significativos de x, es decir, el 
numero total de bits menos el numero 
de ceros a la derecha. 

pow(a,b) => Calcula el valor de a elevado a b. 


*/ 


despl=Num_bits_digito - 

Bits_significativos(Digito_Mas_Significativo(d)); 

factor=pow(2, despi) ; /* Desplazamos d hasta que su digito 

mas significativo tenga su bit de mayor 
peso a 1 (di>=B/2) 

*/ 

dd=d* factor; 
cc=c*factor; 

if (Digitos(cc)==Digitos(c)) 

Poner_Un_Cero_A_La_Izquierda(cc); /* Garantizar que cc 

tiene exactamente un 
digito mas que c 

*/ 

t=Digito_Mas_Significativo(dd) ; 

/* Ya hemos normalizado. El cociente que obtengamos seguira 
siendo valido, pero el resto habra luego que dividirlo por 
factor */ 

Poner_a_cero(a); 

for (i=Digitos(c)-Digitos(dd); i>=0; i—) 

{ 

/* Subestimar digito dei cociente (ai) */ 

if (t==B-l) /* No podemos dividir por t+1 */ 

ai=cc[i+Digitos(dd)]; /* La estimacion es el primer 

digito significativo de cc 

*/ 
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else ai=(cc[i+Digitos(dd)]*B+cc[±+Digitos(dd)-l])/(t+1); 

/* La estimacion es el cociente 
entre los dos primeros digitos 
de cc y t+1 

*/ 

cc=cc-ai*dd*pow (B,i); /* Restar a cc */ 

while (cc[i+Digitos(dd)] || /* Si no se ha hecho cero el 

digito mas sign. de cc... 

*/ 

mayor(cc,dd*pow(B,i))) /* o si cc es mayor o igual 

que dd*B A i 

*/ 

{ ai++; /* Hemos de aumentar la estimacion */ 

cc=cc-dd*pow (B,i); 

} 

a[i]=ai; 

} 

b=cc/factor; /* Lo que nos queda en cc es el resto 
dividimos por factor para deshacer 
la normalizacion 


Aunque a primera vista pueda parecer un algoritmo muy complejo, vamos a ver 
que no es tan complicado siguiendo su funcionamiento para un ejemplo concreto, 
con B = 16, c = 3FBA2, y d = 47: 

1. Normalizacion: multiplicamos por 2 y nos queda c = 7F744, d = 8E 

2. a 2 = 7F div 9 = E; c = c - a 2 dB 2 = 7F744 - 7(77400 = 3344 
Puesto que c < dB 2 = 81700, no hay que incrementar a 2 . 

3. ai = 33 div 9 = 5; c = c - ajB = 3344 - 2C'60 = 6E4 

Puesto que c < dB — 8170, no hay que incrementar a ,. 

4. a 0 = 617 div 9 = C; c = c — a 0 d = 6174 — 6A8 = 3 C 

Puesto que c < d — 817, tampoco hay que incrementar a 0 

5. a = 175C; b = | = 117 
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7.3. Aritmética modular con enteros largos 

Los algoritmos criptográficos de llave pública más extendidos se basan en opera- 
ciones modulares sobre enteros muy largos. Empleando los algoritmos dei apartado 
7.2 son inmediatas las operaciones de suma, resta y multiplicación módulo n. La di- 
visión habremos de trataria de manera diferente. 


■ Para sumar dos números módulo n basta con efectuar su suma entera y, si el 
resultado es mayor que n, restar el módulo. 

■ Para restar basta con comprobar que el minuendo es mayor que el sustraendo, 
en cuyo caso aplicamos directamente el algoritmo de la resta. Si, por el contra¬ 
rio, el sustraendo fuera mayor que el minuendo, sumamos a este último el valor 
de n antes de hacer la resta. 

■ El producto se lleva a cabo multiplicando los factores y tomando el resto de 
dividir el resultado por el módulo. 

■ La división habremos de implementaria multiplicando el dividendo por la in¬ 
versa dei divisor. Para calcular la inversa de un número módulo n basta con 
emplear el Algoritmo Extendido de Euclides, sustituyendo las operaciones ele- 
mentales por llamadas a las operaciones con enteros largos descritas en la sec- 
ción 7.2. 


7.4. Ejercicios Resueltos 

1. Efectúe el trazado dei algoritmo de la división con B = 8 para calcular el si- 
guiente cociente: c = 35240, d = 234. 

Solución: A partir de los valores c = 35240 y d = 234, calculamos el factor de nor- 
malización, que será 2, por lo que dd = 470 y cc = 72500. Nótese que todas las 
operaciones están efectuadas en base octal. Los pasos dei algoritmo arrojarán 
los siguientes valores: 


t 

= 4 



Cl2 

= 07 -=- 5 = 1 

cc = 

72500 - 1 • 47000 = 23500 

di 

= 25 -r- 5 = 3 

cc = 

23500 - 3 • 4700 = 5000 

fli 

— dl H - 1 — 4 

cc = 

5000 - 4700 = 100 

ao 

= 1 -r 5 = 0 

cc = 

100 - 0 ■ 470 = 100 
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Ahora deshacemos la normalización, con lo que nos queda un cociente a = 140 
y un resto b = 40. 

7.5. Ejercicios Propuestos 

1. La técnica divide y vencerás se basa en subdividir el problema y aplicar recur¬ 
sivamente el algoritmo en cuestión hasta llegar a un umbral mínimo, a partir 
dei cual la técnica no recursiva es más eficiente. Implemente el algoritmo de la 
multiplicación mediante esta técnica y calcule el umbral correspondiente. 

2. Elabore la especificación de una Estructura de Datos que permita almacenar 
números enteros largos y defina sus primitivas básicas. 

3. Proponga una especificación para la estructura dei ejercicio anterior y discuta 
su eficiência. 


Manuel J. Lucena López 


Criptografia y Seguridad en Computadores 



Capítulo 8 

Criptografia y Números Aleatórios 


Los algoritmos de llave pública, debido a su mayor orden de complejidad, suelen 
ser empleados en conjunción con algoritmos de llave privada de la siguiente forma 
(ver capítulo 12): el mensaje primero se codifica empleando un algoritmo simétrico 
y la llamada clave de sesión, que será diferente cada vez. Es únicamente la clave de 
sesión la que se cifra empleando criptografia asimétrica, produciendo un importante 
ahorro de coste computacional. Sin embargo, si el proceso de generación de estas cla¬ 
ves fuera predecible o, al menos, reproducible, un atacante malicioso podría llegar a 
adivinar la siguiente clave de sesión a partir de una o varias claves, lo cual tendría re¬ 
sultados catastróficos. Un famoso ejemplo de este problema tuvo lugar en una de las 
primeras versiones dei navegador Netscape, que resultaba insegura debido al uso de 
un generador de claves demasiado previsible. La única manera de protegerse fren¬ 
te a estos ataques es asegurarse de que no exista ningún tipo de dependencia entre 
una clave y la siguiente, esto es, que sean aleatórias. De aqui surge el interés por los 
números aleatórios en Criptografia. 

Seguro que el lector conoce generadores pseudoaleatorios y diferentes tests de 
aleatoriedad —como el denominado test -0 2 , que puede ser consultado en casi cual- 
quier libro de Estadística—. En realidad, los generadores tradicionales no nos per- 
miten calcular secuencias realmente aleatórias, puesto que conociendo un número 
obtenido con el generador podemos determinar cualquiera de los posteriores —re¬ 
cordemos que cada elemento de la secuencia se emplea como semilla para calcular el 
siguiente—. Si bien las series que producen superan los test estadísticos de aleato¬ 
riedad, son totalmente previsibles, y esa condición es inadmisible para aplicaciones 
criptográficas. 

En este capítulo vamos a caracterizar diferentes tipos de secuencias aleatórias, 
así como su interés en Criptografia. También veremos cómo implementar un buen 
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8. Criptografia y Números Aleatórios 


generador aleatorio útil desde el punto de vista criptográfico. 


8.1. Tipos de Secuencias Aleatórias 

En realidad es casi dei todo imposible generar secuencias auténticamente alea¬ 
tórias en una computadora, puesto que estas máquinas son —al menos en teoria— 
completamente deterministas. De hecho, cualquier generador que emplee únicamen¬ 
te métodos algorítmicos en su propósito producirá secuencias reproducibles, por lo 
que estaremos hablando en realidad de secuencias pseudoaleatorias. En general, to¬ 
dos los generadores pseudoaleatorios producen secuencias finitas y periódicas de 
números empleando exclusivamente operaciones aritméticas y/o lógicas. No obstan¬ 
te, si empleamos elementos externos a la computadora, podremos generar también 
secuencias realmente aleatórias. 

En esta sección describiremos dos tipos de secuencias pseudoaleatorias, en fun- 
ción de sus propiedades, además de las secuencias auténticamente aleatórias. 

8.1.1. Secuencias estadísticamente aleatórias 

En principio, es relativamente fácil conseguir que una secuencia pseudoaleatoria 
sea lo más larga posible antes de comenzar a repetirse y que supere los tests estadís- 
ticos de aleatoriedad. En este sentido podemos hablar de: 

■ Secuencias estadísticamente aleatórias: Secuencias pseudoaleatorias que superan 
los tests estadísticos de aleatoriedad. 

Los generadores congruenciales lineales 1 cumplen esta propiedad, y de hecho son 
muy utilizados en Informática, especialmente en entornos de simulación, pero en 
Criptografia resultan dei todo inútiles, debido a que cada valor de la secuencia se 
emplea como semilla para calcular el siguiente, lo cual nos permite conocer toda la 
serie a partir de un único valor. Supongamos que tenemos un sistema que se basa 
en emplear claves aleatórias para cada sesión y usamos un generador de este tipo. 
Bastaria con que una de las claves quedara comprometida para que todas las comu- 
nicaciones —pasadas y futuras— pudieran ser descifradas sin problemas. Incluso se 
ha demostrado que conociendo únicamente un bit de cada valor de la secuencia, és- 
ta puede ser recuperada completamente con una cantidad relativamente pequena de 
valores. 

1 Un generador congruencial lineal opera según la expresión a n+ i = ( a n b + c) mód m, donde ao es 
la semilla pseudoaleatoria y b, c y m son los parâmetros dei generador. 
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8.1.2. Secuencias criptográficamente aleatórias 

El problema de las secuencias estadísticamente aleatórias, y lo que las hace poco 
útiles en Criptografia, es que son completamente predecibles. Definiremos, por tanto: 


■ Secuencias criptográficamente aleatórias: Para que una secuencia pseudoaleatoria 
sea criptográficamente aleatória, ha de cumplir la propiedad de ser impredeci- 
ble. Esto quiere decir que debe ser computacionalmente intratable el problema 
de averiguar el siguiente número de la secuencia, teniendo total conocimiento 
acerca de todos los valores anteriores y dei algoritmo de generación empleado. 


Existen generadores pseudoaleatorios capaces de generar secuencias criptográfi¬ 
camente aleatórias, generalmente a través dei uso en el algoritmo de información de 
inicialización —denominada semilla — o de estado que ha de mantenerse en secreto. 
Sin embargo, habrá situaciones en las que esto no sea suficiente para nuestros pro¬ 
pósitos y en las que deseemos tener valores realmente impredecibles, de forma que 
nuestro adversário no pueda averiguados ni tratar de simular el proceso de genera¬ 
ción que nosotros hemos llevado a cabo. 


8.1.3. Secuencias totalmente aleatórias 

Como ya se ha dicho antes, no existe la aleatoriedad cuando se habla de compu¬ 
tadoras. Sin embargo, podemos hacer que el ordenador, a través de sus dispositivos 
de entrada/salida, obtenga de su entorno sucesos que pueden considerarse imprede¬ 
cibles. Consideraremos pues un tercer tipo de secuencias: 


■ Secuencias aleatórias: Diremos que una secuencia es totalmente aleatória (o sim- 
plemente aleatória) si no puede ser reproducida de manera fiable. 


8.2. Utilidad de las secuencias aleatórias en Criptografia 

Llegados a este punto parece claro que nuestro objetivo en la mayor parte de las 
ocasiones no va a consistir en generar secuencias aleatórias puras, sino más bien se¬ 
cuencias impredecibles e irreproducibles para un atacante. De hecho, habrá dos esce- 
narios típicos en los que nos vamos a encontrar: 
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Figura 8.1: Clasificación de los distintos tipos de secuencias aleatórias. 


■ Queremos generar una secuencia de números impredecible e irreproducible, 
por ejemplo, para generar claves de sesión. Para ello podemos utilizar indis¬ 
tintamente un generador totalmente aleatorio, o un generador pseudoaleatorio 
criptográficamente aleatorio. En este último caso, emplearemos como semilla la 
salida producida por un generador totalmente aleatorio. 

■ Queremos generar una secuencia de números que luego pueda reproducirse, 
por ejemplo, para construir un cifrado de flujo (ver capítulo 11). En ese caso 
emplearemos un generador criptográficamente aleatorio, cuya semilla hará las 
veces de clave, ya que permitirá al emisor generar una secuencia pseudoaleato- 
ria —impredecible para un atacante— y combinaria con el mensaje para obtener 
el criptograma. El receptor usará la misma semilla para generar una secuencia 
idêntica y recuperar así el mensaje original. 


8.3. Generación de Secuencias Aleatórias Criptográfica¬ 
mente Válidas 


Dedicaremos esta sección a las técnicas de generación de secuencias totalmente 
aleatórias, ya que los generadores de secuencia criptográficamente aleatórios serán 
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estudiados con mayor detalle en el capítulo 11. Nuestro objetivo será, pues, la obten- 
ción de secuencias impredecibles e irreproducibles. Podemos obtener directamente 
dichas secuencias dei exterior, y tratarias para que no presenten ningún sesgo esta- 
dístico, o emplearlas como semilla para alimentar algoritmos pseudoaleatorios, que 
también pueden hacer uso a su vez de valores dificilmente reproducibles, como el 
reloj dei sistema. 


8.3.1. Obtención de Bits Aleatórios 

Como hemos dicho antes, las operaciones aritméticas y lógicas que realiza una 
computadora son completamente deterministas. Sin embargo, como veremos a con- 
tinuación, los ordenadores suelen ir acompanados de dispositivos no tan predecibles 
que pueden resultar útiles para nuestros propósitos. En cualquier caso, cada vez re¬ 
sulta más frecuente la inclusión de hardware específico en los ordenadores modernos 
para la obtención de información aleatória. 

Aunque lo ideal es disponer de elementos específicos, existen valores obtenidos 
dei hardware convencional de una computadora que suelen proporcionar algunos bits 
de aleatoriedad. Parece razonable que leer en un momento dado el valor de un reloj 
interno de alta precisión proporcione un resultado más o menos impredecible, por 
lo que podríamos emplearlo para recolectar valores aleatórios. Diferentes pruebas 
han demostrado sin embargo que mecanismos de este tipo, que pueden ser útiles 
en ciertas arquitecturas y sistemas operativos, dejan de servir en otras versiones dei 
mismo sistema o en arquitecturas muy similares, por lo que hemos de tener mucho 
cuidado con esto. 

Algunas veces se ha propuesto el uso de los números de serie de los componen¬ 
tes físicos de un sistema, pero recordemos que estos números tienen una estructura 
muy rígida, y a veces conociendo simplemente el fabricante y la fecha aproximada de 
fabricación podemos adivinar casi todos sus dígitos, por lo que van a ser demasiado 
predecibles. Tampoco son útiles las fuentes públicas de información, como por ejem- 
plo los bits de un CD de audio, puesto que nuestros atacantes pueden disponer de 
ellas, con lo que el único resto de aleatoriedad que nos va a quedar es la posición que 
escojamos dentro dei CD para extraer los bits. 


Fuentes Adecuadas de Obtención de Bits Aleatórios 

Cuando no disponemos de un elemento físico en la computadora específicamente 
disenado para producir datos aleatórios, podemos recurrir a algunos dispositivos 
relativamente comunes en los ordenadores actuales: 
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■ Tarjetas digitalizadoras de sonido o vídeo. Un dispositivo digitalizador de audio (o 
vídeo) sin ninguna entrada conectada, siempre que tenga ganancia suficiente, 
capta esencialmente ruido térmico, con una distribución aleatória, y por lo tanto 
puede ser apto para nuestros propósitos. 

■ Unidades de disco. Las unidades de disco presentan pequenas fluctuaciones en su 
velocidad de giro debido a turbulências en el aire. Si se dispone de un método 
para medir el tiempo de acceso de la unidad con suficiente precisión, se pueden 
obtener bits aleatórios de la calidad necesaria. 


Si no se dispone de una fuente fiable de bits aleatórios se puede efectuar la combi- 
nación de varias fuentes de información menos fiables. Por ejemplo, podríamos leer 
el reloj dei sistema, algún identificador dei hardware, la fecha y la hora locales, el es¬ 
tado de los registros de interrupciones dei sistema, etc. Esto garantizará que en total 
se ha recogido una cantidad suficiente de bits realmente aleatórios. 

La mezcla de todas esas fuentes puede proporcionamos suficiente aleatoriedad 
para nuestros propósitos. Teniendo en cuenta que el número de bits realmente alea¬ 
tórios que se obtendrán como resultado final dei proceso ha de ser necesariamente 
menor que el número de bits recogido inicialmente, hemos de buscar un mecanis¬ 
mo para llevar a cabo esa combinación. Emplearemos a tal efecto las denominadas 
funciones de mezcla fuertes. 

Una función de mezcla es aquella que toma dos o más fuentes de información y 
produce una salida en la que cada bit es una función compleja y no lineal de todos 
los bits de la entrada. Por término medio, modificar un bit en la entrada debería 
alterar aproximadamente la mitad de los bits de salida. Podemos emplear diferentes 
algoritmos criptográficos para construir este tipo de funciones: 


■ Algoritmos de cifrado por Bloques (ver capítulo 10). Un algoritmo simétrico de ci¬ 
frado por bloques puede ser útil como función de mezcla de la siguiente forma: 
supongamos que usa una clave de n bits, y que tanto su entrada como su sali¬ 
da son bloques de m bits. Si disponemos den + m bits inicialmente, podemos 
codificar m bits usando como clave los n restantes, y así obtener como salida 
un bloque de m bits con mejor aleatoriedad. Así, por ejemplo, si usamos DES, 
podemos reducir a 64 bits un bloque de 120. 

■ Funciones Resumen (ver capítulo 13) . Una función resumen puede ser empleada 
para obtener un número fijo de bits a partir de una cantidad arbitraria de bits 
de entrada. 
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8.3.2. Eliminación dei Sesgo 

En la mayoría de los casos, los bits obtenidos de las fuentes aleatórias están sesga- 
dos, es decir, que hay más unos que ceros o viceversa. Esta situación no es deseable, 
puesto que necesitamos una fuente aleatória no sesgada, que presente igual probabi- 
lidad tanto para el 0 como para el 1. Como veremos a continuación, esta circunstancia 
no constituye un problema serio, ya que existen diversas técnicas para solucionaria. 


Bits de Paridad 

Si tenemos una secuencia de valores cero y uno, con un sesgo arbitrário, podemos 
emplear el bit de paridad 2 de la secuencia para obtener una distribución con una 
desviación tan pequena como queramos. Para comprobarlo, supongamos que d es el 
sesgo, luego las probabilidades que tenemos para los bits de la secuencia son: 


p = 0,5 + d q = 0,5 — d 

donde p es la probabilidad para el 1 y q es la probabilidad para el 0. Se puede com- 
probar que las probabilidades para el bit de paridad de los n primeros bits valen 

r = \ ((p + q) n + (p - q ) n ) s = y ((p + q) n - (p - q) n ) 

donde r será la probabilidad de que el bit de paridad sea 0 ó 1 dependiendo de si n 
es par o impar. Puesto que p+q=lyp— q = 2d, tenemos 


r = -(l + (2 d) n ) 


S= 2 (1 


(2 dy 


Siempre que n > 


log 2 (» 

log 2 (2d) 


el sesgo de la paridad será menor que e, por lo que 


bastará con coger esos n bits. Por ejemplo, si una secuencia de bits tiene p = 0,01 y 
q = 0,99, basta con coger la paridad de cada 308 bits para obtener un bit con sesgo 
inferior a 0,001. 


2 E1 bit de paridad de una secuencia vale 1 si el número de unos de dicha secuencia es par (paridad 
impar) o impar (paridad par). 
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Método de Von Neumann 

El método que propuso Von Neumann para eliminar el sesgo de una cadena de 
bits consiste simplemente en examinar la secuencia de dos en dos bits. Eliminamos 
los pares 00 y 11, e interpretamos 01 como 0 y 10 como 1. Por ejemplo, la serie 
00.10.10.01.01.10.10.10.11 daria lugar a 1.1.0.0.1.1.1, 

Es fácil comprobar que, siendo d el sesgo de la distribución inicial 

P(01) = P(10) = (0,5 + d)(0,5 - d) 

por lo que la cadena de bits resultantes presenta exactamente la misma probabili- 
dad tanto para el 0 como para el 1. El problema de este método es que no sabemos 
a priori cuántos bits de información sesgada necesitamos para obtener cada bit de 
información no sesgada. 


Uso de Funciones Resumen 

Si calculamos la entropia de una secuencia sesgada (ecuación 3.2, página 45), ob- 
tendremos el número n de bits reales de información que transporta. Entonces podre- 
mos aplicar una función resumen (capítulo 13) y quedamos exactamente con los n 
bits menos significativos dei resultado obtenido. 

Veamos un ejemplo: sea una secuencia de 300 bits con una probabilidad P(l) = 
0,99. La entropia de cada bit será 

H = -0,99 log 2 (0,99) - 0,01 log 2 (0,01) = 0,08079 bits 

Luego los 300 bits originales aportarán 300 x 0,08079 ~ 24 bits de información 
real. Podemos calcular la firma MD5 o SEIA de dicha secuencia y considerar los 24 
bits menos significativos dei resultado como bits aleatórios válidos. 


8.3.3. Generadores Aleatórios Criptográficamente Seguros 

Vamos a ver a continuación un par de generadores pseudoaleatorios que permiten 
obtener secuencias lo suficientemente seguras como para ser empleadas en aplicacio- 
nes criptográficas. Ambos emplean una semilla —que puede ser obtenida a partir de 
un generador totalmente aleatorio—, e incluso uno de ellos emplea internamente in¬ 
formación de gran variabilidad, como es el reloj dei sistema, para hacer más difícil de 
reproducir la secuencia resultante. 
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Generador X9.17 

Propuesto por el Instituto Nacional de Estándares Norteamericano, permite, a 
partir de una semilla inicial so de 64 bits, obtener secuencias de valores también de 
64 bits. En sus cálculos emplea valores difíciles de adivinar desde el exterior, como 
el tiempo dei sistema en el momento de obtener cada elemento de la secuencia, pa¬ 
ra de esta forma aproximar más su comportamiento al de un generador totalmente 
aleatorio. El algoritmo para obtener cada uno de los valores g n de la secuencia es el 
siguiente: 


g n = DES(k, DES(k, t) © s n ) 
s n+1 = DES(k, DES(k, t) © g n ) 

donde k es una clave aleatória reservada para la generación de cada secuencia, y t 
es el tiempo en el que cada valor es generado —cuanta más resolución tenga (hasta 
64 bits), mejor—. I)ES(K. M ) representa la codificación de M mediante el algoritmo 
DES, empleando la clave K, y © representa la función or-exclusivo. Nótese que el 
valor k ha de ser mantenido en secreto para que la seguridad de este generador sea 
máxima. 


Generador Blum Blum Shub 

Si bien se trata en realidad de un generador pseudoaleatorio, es uno de los algo¬ 
ritmos que más pruebas de resistência ha superado, con la ventaja adicional de su 
gran simplicidad — aunque es computacionalmente mucho más costoso que el algo¬ 
ritmo X9.17 —. Consiste en escoger dos números primos grandes, p y q, que cumplan 
la siguiente propiedad: 


p = 3(mód 4) q = 3(mód 4) 

Sea entonces n = pq. Escogemos un número x aleatorio primo relativo con n, que será 
nuestra semilla inicial. Al contrario que x, que debe ser mantenido en secreto, n puede 
ser público. Calculamos los valores s, de la serie de la siguiente forma: 

so = (x 2 )(módn) 

Si+i = (s 2 )(módn) 

Hay que tener cuidado de emplear únicamente como salida unos pocos de los bits 
menos significativos de cada s*. De hecho, si cogemos no más que log 2 (log 2 (s*)) bits 
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en cada caso podemos asegurar que predecir el siguiente valor de la serie es al menos 
tan difícil como factorizar n. 


Manuel J. Lucena López 


Criptografia y Seguridad en Computadores 



Parte III 

Algoritmos Criptográficos 


Manuel J. Lucena López 


Criptografia y Seguridad en Computadores 




Capítulo 9 

Criptografia Clásica 


El ser humano siempre ha tenido secretos de muy diversa índole, y ha buscado 
mecanismos para mantenerlos fuera dei alcance de miradas indiscretas. Julio César 
empleaba una sencilla técnica para evitar que sus comunicaciones militares fueran 
interceptadas. Leonardo Da Vinci escribía las anotaciones sobre sus trabajos de de- 
recha a izquierda y con la mano zurda. Otros personajes, como Sir Francis Bacon o 
Edgar Allan Poe eran conocidos por su afición a los códigos criptográficos, que en 
muchas ocasiones constituían un apasionante divertimento y un reto para el ingenio. 

En este capítulo haremos un breve repaso de los mecanismos criptográficos con¬ 
siderados clásicos. Podemos llamar así a todos los sistemas de cifrado anteriores a la 
II Guerra Mundial, o lo que es lo mismo, al nacimiento de las computadoras. Estas 
técnicas tienen en común que pueden ser empleadas usando simplemente lápiz y 
papel, y que pueden ser criptoanalizadas casi de la misma forma. De hecho, con la 
ayuda de las computadoras, los mensajes cifrados mediante el uso de estos códigos 
son fácilmente descifrables, por lo que cayeron rápidamente en desuso. 

La transición desde la Criptografia clásica a la moderna se da precisamente duran¬ 
te la II Guerra Mundial, cuando el Servicio de Inteligência aliado rompe dos sistemas 
empleados por el ejército alemán, la máquina ENIGMA y el cifrado de Lorenz, con¬ 
siderados hasta ese momento absolutamente inexpugnables. Pero lo más importante 
de esa victoria es que se consigue a través de revolucionários desarrollos matemáti¬ 
cos, combinados con el nacimiento de las computadoras modernas. 

Todos los algoritmos criptográficos clásicos son de carácter simétrico, ya que hasta 
mediados de los anos setenta no nació la Criptografia Asimétrica. 
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9.1. Algoritmos Clásicos de Cifrado 

Estudiaremos en esta sección algunos criptosistemas que en la actualidad han 
perdido gran parte de su eficacia, debido a que son fácilmente criptoanalizables em- 
pleando una computadora doméstica, bien mediante análisis estadístico o directa- 
mente por la fuerza bruta, pero que fueron empleados con êxito hasta principios dei 
siglo XX. Algunos se remontan incluso, como el algoritmo de César, a la Roma Impe¬ 
rial. Sin embargo aún conservan el interés teórico, ya que algunas de sus propiedades 
resultan muy útiles para entender mejor los algoritmos modernos. 


9.1.1. Cifrados de Sustitución 

Los algoritmos engolobados dentro de esta familia se basan en cambiar por otros 
los símbolos dei mensaje, sin alterar su orden relativo. Cada uno de ellos vendrá defi¬ 
nido por el mecanismo concreto empleado para efectuar dicho cambio, pudiendo ser 
independiente de la posición que ocupa el símbolo el el mensaje (cifrados monoalfabé- 
ticos), o venir determinado por ésta (cifrados polialfabéticos). Como vimos en la sección 
3.8, esta transformación se corresponde con el concepto de confusión. 


Cifrados Monoalfabéticos 

Se engloban dentro de este apartado todos los algoritmos criptográficos que, sin 
desordenar los símbolos dentro dei mensaje, establecen una única función de susti¬ 
tución para todos ellos a lo largo dei texto. Es decir, si al símbolo A le corresponde el 
símbolo D, esta correspondência se mantiene para todo el mensaje. 


Algoritmo de César. El algoritmo de César, llamado así porque es el que empleaba 
Julio César para enviar mensajes secretos, es uno de los algoritmos criptográficos más 
simples. Consiste en sumar 3 al número de orden de cada letra. De esta forma a la A 
le corresponde la D, a la B la E, y así sucesivamente. Si asignamos a cada letra un 
número ( A = 0 ,B = 1...), y consideramos un alfabeto de 26 letras, la transformación 
criptográfica seria: 


c = (m + 3) mód 26 

obsérvese que este algoritmo ni siquiera posee clave, puesto que la transformación 
siempre es la misma. Obviamente, para descifrar basta con restar 3 al número de 
orden de las letras dei criptograma. 
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Sustitución Afín. Es el caso general dei algoritmo de César. Su transformación se¬ 
ria: 


E( ajb ) (m) = (a ■ m + b) mód N 

siendo ay b dos números enteros menores que el cardinal N dei alfabeto, y cumplien- 
do que mcd(a, N ) = 1. La clave de cifrado k viene entonces dada por el par (a, b ). El 
algoritmo de César será pues una transformación afín con k = (1,3). 


Cifrado Monoalfabético General. Es el caso más general de cifrado monoalfabé- 
tico. La sustitución ahora es arbitraria, siendo la clave k precisamente la tabla de 
sustitución de un símbolo por otro. En este caso tenemos N\ posibles claves. 


Criptoanálisis de los Métodos de Cifrado Monoalfabéticos. El cifrado monoalfa¬ 
bético constituye la familia de métodos más simple de criptoanalizar, puesto que las 
propiedades estadísticas dei texto claro se conservan en el criptograma. Supongamos 
que, por ejemplo, la letra que más aparece en Castellano es la A. Parece lógico que 
la letra más frecuente en el texto codificado sea aquella que corresponde con la A. 
Emparejando las frecuencias relativas de aparición de cada símbolo en el mensaje ci¬ 
frado con el histograma de frecuencias dei idioma en el que se supone está el texto 
claro, podremos averiguar fácilmente la clave. 

En el peor de los casos, es decir, cuando tenemos un emparejamiento arbitrário, la 
Distancia de Unicidad de Shannon que obtenemos es: 

C H(K) log 2 (JV!) 

S “ ~D~ ~ D 

donde D es la redundância dei lenguaje empleado en el mensaje original, y N es el 
número de símbolos de dicho lenguaje. Como es lógico, suponemos que las A! claves 
diferentes son equiprobables en principio. 

En casos más restringidos, como el afín, el criptoanálisis es aún más simple, puesto 
que el emparejamiento de todos los símbolos debe responder a alguna combinación 
de coeficientes (a, b). 


Cifrados Polialfabéticos 

En los cifrados polialfabéticos la sustitución aplicada a cada carácter varia en fun- 
ción de la posición que ocupe éste dentro dei texto claro. En realidad corresponde a 
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la aplicación cíclica de n cifrados monoalfabéticos. 


Cifrado de Vigenère. Es un ejemplo típico de cifrado polialfabético que debe su 
nombre a Blaise de Vigenère, su creador, y que data dei siglo XVI. La clave está cons- 
tituida por una secuencia de símbolos K = {k 0 , k \.... k,i- \}, y se emplea la siguiente 
función de cifrado: 


Ekim) = m + k(i mód d ) (mód n) 


siendo m, el i —ésimo símbolo dei texto claro y n el cardinal dei alfabeto de entrada. 


Criptoanálisis. Para criptoanalizar este tipo de claves basta con efectuar d análisis 
estadísticos independientes agrupando los símbolos según la ki empleada para codi¬ 
ficados. Necesitaremos al menos d veces más cantidad de texto que con los métodos 
monoalf abétic os. 

En lo que respecta a la estimación dei valor de d, podemos emplear el método 
propuesto por Friedrich Kasiski en 1863, que consiste en buscar subcadenas de tres o 
más letras repetidas dentro dei texto cifrado, y anotar las distancias s l que las separan. 
Lo más probable es que los patrones encontrados se correspondan con subcadenas 
repetidas también en el texto claro, separadas por un número de caracteres múltiplo 
de d. Podremos, por tanto, estimar d calculando el máximo común divisor de todos 
los Si que hayamos localizado. 


Cifrados por Sustitución Homofónica 

Para paliar la sensibilidad frente a ataques basados en el estúdio de las frecuencias 
de aparición de los símbolos, existe una familia de algoritmos monoalfabéticos que 
trata de ocultar las propiedades estadísticas dei texto claro, empleando un alfabeto 
de salida con más símbolos que el alfabeto de entrada. 

Supongamos que nuestro alfabeto de entrada posee cuatro letras, {a, b, c, d}. Su- 
pongamos además que en nuestros textos la letra a aparece con una probabilidad 
0.4, y el resto con probabilidad 0.2. Podríamos emplear el siguiente alfabeto de salida 
{a, P, 7 , ó, e} efectuando la siguiente asociación: 
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í a con probabilidad 1/2 
[ j3 con probabilidad 1/2 

7 
5 
e 

En el texto cifrado ahora todos los símbolos aparecen con igual probabilidad, ma¬ 
ximizando su entropia y eliminando su redundância, lo que en principio imposibilita 
un ataque basado en frecuencias. A pesar de su gran potencial, este método necesita 
un alfabeto de salida mayor que el de entrada —y tanto más grande cuanto mejor 
queramos aplanar el histograma de frecuencias dei criptograma—, lo cual representa 
un problema, especialmente en lo que a aplicaciones informáticas se refiere. 


E(a) = 

m = 

E{c) = 
E(d ) = 


9.1.2. Cifrados de Transposición 

Este tipo de mecanismos de cifrado no sustituye unos símbolos por otros, sino 
que cambia su orden dentro dei texto, siguiendo el concepto de difusión definido 
por Shannon. Quizás el más antiguo conocido sea el escitalo, empleado en la Anti- 
gua Grécia, especialmente en Esparta. Este dispositivo estaba formado por un bastón 
cilíndrico con un radio particular y una tira de piei que se enrollaba alrededor de 
aquél. El texto se escribía a lo largo dei bastón y sólo podia ser leído si se disponía de 
otro bastón de dimensiones similares. Un mecanismo de transposición sencillo, que 
no precisa otra cosa que lápiz y papel, consiste en colocar el texto en una tabla de 
n columnas, y dar como texto cifrado los símbolos de una columna —ordenados de 
arriba abajo— concatenados con los de otra, etc. La clave k se compone dei número n 
junto con el orden en el que se deben leer las columnas. 

Por ejemplo, supongamos que queremos cifrar el texto "El perro de San Roque no 
tiene rabo ", con n — 5 y la permutación {3,2,5,1,4} como clave. Colocamos el texto 
en una tabla y obtenemos: 


1 

2 

3 

4 

5 

E 

L 
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E 

R 
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O 
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B 
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Tendríamos como texto cifrado la concatenación de las columnas 3,2,5,1 y 4 res¬ 
pectivamente: " Osonealr r iredmi eoere et p aqonb". Nótese que hemos de conservar el 
espacio al principio dei texto cifrado para que el mecanismo surta efecto. 


Criptoanálisis. Este tipo de mecanismos de cifrado se puede criptoanalizar efec- 
tuando un estúdio estadístico sobre la frecuencia de aparición de pares y tripletas de 
símbolos en el lenguaje en que esté escrito el texto claro. Suponiendo que conocemos 
n, que en nuestro caso es igual a 5, tenemos 5! = 120 posibles claves. Descifraríamos el 
texto empleando cada una de ellas y comprobaríamos si los pares y tripletas de sím¬ 
bolos consecutivos que vamos obteniendo se corresponden con los más frecuentes en 
Castellano. De esa forma podremos asignarle una probabilidad automáticamente a 
cada una de las posibles claves. 

Si, por el contrario, desconocemos n, basta con ir probando con n — 2, n — 3 y 
así sucesivamente. Este método es bastante complejo de llevar a cabo manualmente, 
a no ser que se empleen ciertos trucos, pero una computadora puede completado en 
un tiempo más que razonable sin demasiados problemas. 


9.2. Máquinas de Rotores. La Máquina ENIGMA 


En el ano 1923, un ingeniero alemán llamado Arthur Scherbius patentó una má¬ 
quina específicamente disenada para facilitar las comunicaciones seguras. Se trataba 
de un instrumento de apariencia simple, parecido a una máquina de escribir. Quien 
deseara codificar un mensaje sólo tenía que teclearlo y las letras correspondientes al 
texto cifrado se irían iluminando en un panei. El destinatário copiaba dichas letras 
en su propia máquina y el mensaje original aparecia de nuevo. La clave la constituían 
las posiciones iniciales de tres tambores o rotores que el ingenio poseía en su parte 
frontal. 

En la figura 9.1 podemos apreciar un esquema de esta máquina, llamada ENIG¬ 
MA. Los rotores no son más que tambores con contactos en su superficie y cableados 
en su interior, de forma que con cada pulsación dei teclado, la posición de éstos de¬ 
termina cuál es la letra que se ha de iluminar. Cada vez que se pulsa una tecla el 
primer rotor avanza una posición; el segundo avanza cuando el anterior ha dado una 
vuelta completa y así sucesivamente. El reflector no existia en los primeros modelos, 
se introdujo posteriormente para permitir que la misma máquina sirviera tanto para 
cifrar como para descifrar, como veremos más adelante. 
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Figura 9.1: Esquema de la máquina Enigma. 


9.2.1. Un poco de Historia 

ENIGMA pronto llamó la atención dei ejército alemán, que la utilizo de forma 
intensiva a lo largo de la II Guerra Mundial. Además se le aplicaron varias mejoras, 
como incluir un pequeno sistema prévio de permutación, llamado stecker o clavijero 
—que permitia escoger seis pares de letras para ser intercambiadas previamente al 
cifrado—> hacer que los rotores fueran intercambiables —se podían elegir y colocar 
en cualquier orden tres de entre cinco disponibles—> e incluso ampliar a cuatro el 
número de rotores. 

Aunque ENIGMA parecia virtualmente imposible de romper, presentaba una se¬ 
rie de debilidades, tanto en su diseno como en los mecanismos empleados para utili¬ 
zaria, que fueron aprovechadas por el ejército aliado. El primero en conseguir avances 
significativos fue el servicio de inteligência polaco, ya que en 1931 los franceses, en 
virtud de un acuerdo de cooperación firmado diez anos antes, les facilitaron informa- 
ción detallada sobre la máquina 1 , que ellos a su vez habían obtenido sobornando a un 
miembro de la oficina de cifras alemana. De hecho, los espias franceses consideraban 
esta información totalmente inútil, ya que pensaban que ENIGMA era, sencillamente, 
indescifrable. 

El conocimiento preciso de la máquina permitió a un equipo de tres matemáticos 

1 En anteriores ediciones de este libro se mencionaba el envio por error a Polonia de una máquina, 
pero parece que se trata simplemente de una leyenda. 
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(Marian Rejewski, Jerzy Rozycki y Henryk Zygalski) elaborar un mecanismo para 
aprovechar una debilidad, no en la máquina en sí, sino en el protocolo empleado 
por el ejército alemán para colocar los rotores al principio de cada mensaje. Dicho 
protocolo consistia en escoger una posición de un libro de claves, y enviar tres letras 
cualesquiera dos veces, para evitar posibles errores. En realidad se estaba introducien- 
do una redundância en el mensaje que permitia obtener, con un nivel de esfuerzo 
al alcance de los polacos, la clave empleada. Se construyó un aparato que permitia 
descifrar los mensajes, y se le bautizó como Ciclómetro. 

En 1938 Alemania cambio el protocolo, lo cual obligó a los matemáticos polacos 
a refinar su sistema, aunque básicamente se seguían enviando tres letras repetidas. 
No vamos a entrar en detalles, pero el ataque se basaba en buscar ciertas configura- 
ciones de la máquina, con propiedades específicas. Estas configuraciones especiales 
daban una información vital sobre la posición inicial de los rotores para un mensaje 
concreto. Se construyó entonces una versión mejorada dei ciclómetro, llamada Bomba, 
que era capaz de encontrar estas configuraciones de forma automática. Sin embargo, 
a finales de ese mismo ano se introdujeron dos rotores adicionales, lo cual obligaba 
a emplear sesenta bombas simultáneamente para romper el sistema. Polonia simple- 
mente carecia de médios económicos para afrontar su construcción. 

Los polacos entonces pusieron en conocimiento de los servicios secretos britânico 
y francês sus progresos, esperando poder establecer una vía de colaboración para 
seguir descifrando los mensajes germanos, pero la invasión de Polonia era inminente. 
Tras destruir todas las pruebas que pudieran indicar al ejército alemán el êxito polaco 
frente a ENIGMA, el equipo de Rejewski huyó precipitadamente, transportando lo 
que pudieron salvar en vários camiones. Tras pasar por Rumanía e Italia, y tener 
que quemar todos los camiones por el camino excepto uno, llegaron a Paris, donde 
colaboraron con un equipo de siete espanoles expertos en criptografia, liderados por 
un tal Camazón. Cuando al ano siguiente Alemania invadió Francia el nuevo equipo 
tuvo que huir a África, y posteriormente instalarse en Montpellier, donde reanudaron 
sus trabajos. En 1942, la entrada alemana en Vichy forzó a los matemáticos a escapar 
de nuevo, los polacos a Espana (donde murió Rozycki), y los espanoles a África, 
donde se perdió definitivamente su pista. 

Cuando el equipo de Rejewski llegó por fin a Inglaterra, ya no se le considero 
seguro, al haber estado en contacto con el enemigo, y se le confiaron únicamente 
trabajos menores. Mientras tanto, en Bletchley Park, Alan Turing desarrollaba una 
segunda Bomba basándose en los estúdios dei polaco, más evolucionada y rápida que 
su antecesora, en el marco dei proyecto ULTRA britânico, que se encargaba de re- 
coger información acerca de los sistemas de comunicaciones germanos. Este nuevo 
dispositivo aprovechaba una debilidad esencial en ENIGMA: un mensaje no puede 
codificarse en sí mismo, lo cual implica que ninguna de las letras dei texto claro pue- 
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de coincidir con ninguna dei texto cifrado. La Bomba de Turing partia de una palabra 
adivimda —en contra de las normas de uso de ENIGMA, la mayoría de los mensajes 
que enviaba el ejército alemán comenzaban de igual forma, lo cual facilito la tarea dei 
equipo aliado enormemente—, y buscaba un emparejamiento con el mensaje cifrado 
tal que el supuesto texto claro y el fragmento de criptograma asociado no coincidie- 
ran en ninguna letra. A partir de ahí la Bomba realizaba una búsqueda exhaustiva 
de la configuración inicial de la máquina para decodificar el mensaje, mediante un 
ingenioso sistema que permitia ignorar la posición dei stecker. 

Un hecho bastante poco conocido es que Alemania regalo al régimen de Franco 
casi una veintena de máquinas ENIGMA, que fueron utilizadas para comunicacio- 
nes secretas hasta entrados los anos cincuenta, suponemos que para regocijo de los 
servicios de espionaje britânico y norteamericano. 


9.2.2. Consideraciones Teóricas Sobre la Máquina ENIGMA 

Observemos que un rotor no es más que una permutación dentro dei alfabeto 
de entrada. El cableado hace que cada una de las letras se haga corresponder con 
otra. Todas las letras tienen imagen y no hay dos letras con la misma imagen. Si 
notamos una permutación como n, podemos escribir que la permutación resultante 
de combinar todos los rotores en un instante dado es: 

T^total (7T 0 , 7Ti, 7T 2 , 7T 3 , 7T 2 , 7iq , 7 T,q ) 

La permutación 7 t 3 corresponde al reflector, y debe cumplir que 7 t 3 = tt ; 7 1 , es decir, 
que aplicada dos veces nos dé lo mismo que teníamos al principio. De esta forma se 
cumple la propiedad de que, para una misma posición de los rotores, la codificación 
y la decodificación son simétricas. 

La fuerza de la máquina ENIGMA radica en que tras codificar cada letra se giran 
los rotores, lo cual hace que la permutación que se aplica a cada letra sea diferente. La 
máquina, por tanto, es un sistema de cifrado de sustitución polialfabética. Además, 
cada sustitución concreta no se repite hasta que los rotores recuperan su posición 
inicial, lo que da lugar a un tamaho de ciclo realmente grande. Tengamos en cuenta 
que hay 17576 posiciones iniciales de los rotores, y 60 combinaciones de tres rotores 
a partir de los cinco de entre los que se puede elegir. Puesto que el stecker presenta 
en torno a cien mil millones de combinaciones, existe una cantidad enorme de po- 
sibles disposiciones iniciales de la máquina — aproximadamente 10 1 '—. La potência 
dei método de criptoanálisis empleado radica en que se podia identificar un empare¬ 
jamiento válido entre el criptograma y el texto claro, e ignorar la posición dei stecker, 
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de forma que sólo bastaba con rastrear dentro dei espacio de posibles configuraciones 
para encontrar aquella que llevara a cabo la transformación esperada. No disponer 
de dicho emparejamiento hubiera complicado enormemente el criptoanálisis, tal vez 
hasta el punto de hacerlo fracasar. 


9.2.3. Otras Máquinas de Rotores 

Además de la máquina alemana ENIGMA, existieron otros dispositivos criptográ¬ 
ficos basados en rotores. En esta sección comentaremos SIGABA y PURPLE, ambos 
empleados durante la II Guerra Mundial. 


La Máquina SIGABA 

Esta máquina de rotores, también conocida como ECM Mark II, Converter M-134 
y CSP-889, fue empleada por el ejército de los EE.UU. durante la Segunda Guerra 
Mundial. A diferencia de la máquina Enigma, en la que los rotores avanzan una posi- 
ción cada vez que se pulsa una tecla, SIGABA incorpora un segundo juego de rotores, 
que se encarga de decidir qué rotores principales avanzan cada vez que se pulsa una 
tecla. Esto aumenta considerablemente la longitud de ciclo de la máquina, y complica 
la localización de posibles patrones en los textos cifrados. 

El principal inconveniente de esta máquina era su excesivo peso y tarnaho, sin 
contar con su complejidad mecânica, dificultad de manejo y fragilidad. Esto supuso 
que, en la práctica, no pudiera ser utilizada en muchas situaciones a lo largo de la 
guerra, a diferencia de la máquina Enigma, mucho más ligera y resistente. En su lu¬ 
gar, se usaba, entre otros, el famoso código consistente en emplear indios navajos, que 
simplemente se comunicaban por radio en su propio idioma, demasiado desconocido 
y complejo como para ser comprendido por el enemigo. 


La Máquina PURPLE 

Esta máquina, bautizada como PURPLE por los EE.UU., fue empleada por el go- 
bierno japonês desde poco antes de iniciarse la Segunda Guerra Mundial, con fines 
diplomáticos. Se trata de la sucesora de otra máquina, denominada RED, y fue di- 
sehada por un capitán de la armada japonesa. Criptoanalizada durante la II Gue¬ 
rra Mundial por un equipo dei Servicio de Inteligência de Sehales de la Armada de 
EE.UU., dirigido por William Friedman, debió su caída más a una mala política de 
elección de claves, que a debilidades intrínsecas de la propia máquina. 
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El cifrado de Lorenz se llevaba a cabo mediante una máquina, denominada SZ40, 
que tenía un diseno considerablemente más complejo que el de la ENIGMA. Para 
su descifrado se desarrolló una máquina descifradora, denominada Colossus, que 
supuso el germen de las computadoras tal y como hoy las conocemos. Si bien la 
Bomba efectuaba en esencia una búsqueda sistemática de la clave, el cifrado de Lo¬ 
renz necesitaba de análisis estadísticos más complejos, y para ello el matemático Max 
Newman 2 , inspirándose en el concepto de Máquina Universal de Turing, dirigió el 
desarrollo de una máquina, bautizada con el nombre de Colossus, que podría muy 
bien ser considerada como la primera computadora moderna, aunque su existência 
se mantuvo en secreto hasta mediados de los anos 70. El ingenio, cuya construcción 
fue llevada a cabo por el ingeniero Tommy Flowers, constaba de unas 1.500 válvulas 
de vacío, tecnologia mucho más moderna que los relés que constituían el corazón de 
las Bombas. 

En el cifrado de Lorenz se empleaba para codificar teletipos, en los que los textos 
venían representados por una matriz formada por columnas de cinco puntos. Cada 
una de esas columnas correspondia a una letra, y en cada punto podia haber (o no) 
un agujero. En esencia, tenemos un sistema de codificación de cinco bits por letra. La 
máquina de Lorenz generaba una secuencia pseudoaleatoria (ver capítulo 8) binaria 
que era combinada con la matriz de puntos, mediante una operación or-exclusivo para 
producir el criptograma. 

El protocolo de comunicaciones usado para la máquina de Lorenz obligaba a usar 
secuencias pseudoaleatorias distintas para mensajes distintos. Sin embargo, en agos¬ 
to de 1941, un operador alemán cometió un terrible error: tenía que transmitir un 
mensaje de cerca de 4.000 caracteres, y tras enviarlo, recibió la siguiente respuesta: 
“ ipodrías repetirlo?". El operador comenzó a codificar de nuevo el mensaje a mano, 
y, probablemente molesto por tener que repetir la operación, comenzó a abreviar el 
texto claro, de tal forma que se enviaron dos mensajes diferentes combinados con la 
misma secuencia pseudoaleatoria. Esta información permitió a los espias dei bando 
contrario extraer la secuencia y comenzar a extraer patrones de la misma — después 
de todo, resultó más pseudo que aleatória —. A partir de aqui el único problema fue que 
para descifrar los mensajes, el método manual se mostraba demasiado lento. Precisa¬ 
mente por eso se desarrolló Colossus. 


2 No confundir con John Von Neumann, que también hizo aportaciones cruciales en los inicios de 
la Informática, pero nunca estuvo en Bletchley Park. 
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9.3.1. Consideraciones Teóricas sobre el Cifrado de Lorenz 

La máquina SZ40 pretendia emular un sistema Seguro de Shannon (sección 3.5), 
pero para ello las secuencias generadas tendrían que ser totalmente aleatórias. Sin 
embargo, si las secuencias producidas por la máquina fueran de este tipo, seria im- 
posible reproducirlas en los dos extremos de la comunicación, por lo que el sistema 
en realidad es una técnica de cifrado de Flujo (capítulo 11). 

Si uno dispone de dos mensajes con sentido en un idioma determinado, cifra¬ 
dos con la misma secuencia pseudoaleatoria, bastará con buscar cadenas de bits que 
permitan descifrar simultáneamente ambos mensajes. Por ejemplo, supongamos la 
siguiente codificación binaria para cada letra: 
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1 

1 

1 

1 

1 

0 

0 

0 

0 

1 

1 

1 

1 

0 

0 

0 

0 

1 

0 

0 

1 

1 

0 

0 

1 

1 

0 

0 

1 

1 

0 

0 

1 

0 

1 

0 

1 

0 

1 

0 

1 

0 

1 

0 

n 

o 

P 

q 

r 

s 

t 

u 

V 

w 

X 

y 

z 

0 

0 

0 

i 

1 

1 

1 

1 

1 

1 

1 

1 

1 

1 

1 

1 

0 

0 

0 

0 

0 

0 

0 

0 

1 

1 

1 

1 

1 

0 

0 

0 

0 

1 

1 

1 

1 

0 

0 

0 

1 

1 

0 

0 

1 

1 

0 

0 

1 

1 

0 

0 

1 

0 

1 

0 

1 

0 

1 

0 

1 

0 

1 

0 

1 


Si nos encontramos los mensajes: 


10100 11000 11000 10101 
10000 11000 11001 11011 


podemos generar las 1.024 combinaciones posibles de 10 bits, y tratar de descifrar las 
dos primeras letras de cada mensaje. Nos quedaremos únicamente con aquellas com¬ 
binaciones de bits que den lugar a sílabas (o partes de sílabas) legales en castellano 
en ambos mensajes. Por ejemplo, la cadena 1010101010 da lugar a las letras BS para el 
primer mensaje, y FS para el segundo, ambas con muy poca probabilidad de aparecer 
al principio de un mensaje correcto en castellano. 

Si, por el contrario, contáramos con un único mensaje cifrado, este análisis resul¬ 
taria imposible, ya que para todos y cada uno de los mensajes posibles en castellano 
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existirá una secuencia de bits que lo genera. La clave está en que existirán muy pocas 
secuencias —tal vez solo una— que den lugar, en ambos mensajes cifrados, a textos 
claros válidos. 

La tarea es tediosa, pero da resultado, incluso si la secuencia empleada para cifrar 
es totalmente aleatória. En consecuencia, los fallos sobre los que se cimento el êxito 
dei criptoanálisis dei cifrado de Lorenz fueron dos: en primer lugar, el cifrado acci- 
dental de dos mensajes distintos con la misma secuencia, y en segundo, el carácter 
poco aleatorio de la secuencia en cuestión. 


9.4. Ejercicios Propuestos 

1. Descifre los mensajes comentados en la sección 9.3.1, teniendo en cuenta cada 
uno de ellos es una palabra completa y correcta en castellano. 
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Capítulo 10 

Cifrados por Bloques 

10.1. Introducción 


Una gran parte de los algoritmos de cifrado simétrico operan dividiendo el men- 
saje que se pretende codificar en bloques de tamano fijo, y aplican sobre cada uno 
de ellos una combinación más o menos compleja de operaciones de confusión — 
sustituciones— y difusión —transposiciones— (ver sección 3.8). Estos algoritmos se 
denominan, en general, cifrados por bloques. 

Recordemos que la confusión consiste en tratar de ocultar la relación que existe 
entre el texto claro, el texto cifrado y la clave. Un buen mecanismo de confusión hará 
demasiado complicado extraer relaciones estadísticas entre las tres cosas. Por su par¬ 
te la difusión trata de repartir la influencia de cada bit dei mensaje original lo más 
posible entre el mensaje cifrado. 

Un hecho digno de ser tenido en cuenta es que la confusión por sí sola resulta 
suficiente, ya que si establecemos una tabla de sustitución completamente diferente 
para cada clave con todos los textos claros posibles tendremos un sistema extrema¬ 
damente seguro. Sin embargo, dichas tablas ocuparían cantidades astronómicas de 
memória, por lo que en la práctica resultan inviables. Por ejemplo, un algoritmo que 
codificara bloques de 128 bits empleando una clave de 80 bits necesitaría una tabla 
de sustitución con un tamano dei orden de 10 64 bits. 

Lo que en realidad se hace para conseguir algoritmos fuertes sin necesidad de al- 
macenar tablas enormes es intercalar la confusión (sustituciones simples, con tablas 
pequenas) y la difusión (permutaciones). Esta combinación se conoce como cifrado de 
producto. La mayoría de los algoritmos se basan en diferentes capas de sustituciones 
y permutaciones, estructura que denominaremos Red de Sustitución-Permutación. En 
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Figura 10.1: Estructura de una red de Feistel. 


muchos casos el criptosistema no es más que una operación combinada de sustitu- 
ciones y permutaciones, repetida n veces, como ocurre con DES. 


10.1.1. Redes de Feistel 

Muchos algoritmos de cifrado tienen en común que dividen un bloque de longi- 
tud n en dos mitades, L y R. Se define entonces un cifrado de producto iterativo en 
el que la salida de cada ronda se usa como entrada para la siguiente según la relación 
(ver figura 10.1): 

Li Ri —i 

Ri = Li_i © Ki) 

( 10 . 1 ) 

Ln L n — i © f (/? n _i, Rn) 

Rn Rn— 1 

Este tipo de estructura se denomina Red de Feistel, y es empleada en multitud 
de algoritmos, como DES, Lucifer, FEAL, CAST, Blowfish, etc. Tiene la interesante 
propiedad de que para invertir la función de cifrado — es decir, para descifrar—basta 
con aplicar el mismo algoritmo, pero con las Ji, en orden inverso. Nótese, además, 
que esto ocurre independientemente de cómo sea la función /. 


si i < n. 
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Podemos emplear la inducción matemática 1 para comprobar esta propiedad. Sea 
E n (L,R ) la función de cifrado para una red de Feistel de n rondas y D n (L,R ) la 
función de descifrado análoga. Desdoblaremos cada función en sus bloques izquier- 
do y derecho y los denotaremos con superíndices, E%(L,R), E^(L,R), D%(L,R) y 
D^(L, R) . Hemos de demostrar que 

D l „(E^(L, R), E*(L, R)) = L y DZtâiL, R),E«(L, R)) = R 

para cualquier valor de n. 


- Si n — 1 tenemos: 

EHA,B) = A © /(A, Ki) 

E?(A,B) = B 

y 

D Í(A,B) = A® f(B, Ki) 

D?(A,B) = B 

luego 

D\ R), Ei(L, -R)) = Ei(L, R) (B f (L, R), K^j = 
= (L©/(i?,Ad))®/(f?,A' 1 ) = L 
y 

A>f (Af(A, A), E*(L, A)) = Af(L, A) = A 


■ Suponiendo que se cumple el caso n, demostrar el caso n + 1: 

Nótese en primer lugar que cifrar con n + 1 rondas equivale a hacerlo con n 
rondas, permutar el resultado y aplicar el paso n +1 de cifrado según la relación 
10 . 1 : 

E^(L,R) = EÍ:(L,R) 

El descifrado con n + 1 será igual a aplicar el primer paso dei algoritmo con 
K n+Í y luego descifrar el resultado con n rondas: 

D n + 1 (A, A) = D n ^A, A® f(B i Rn+ 1)^ 

1 Este principio garantiza que si demostramos el caso correspondiente a n = 1, y luego demostra¬ 
mos el caso n +1 suponiendo cierto el caso n, la propiedad en cuestión ha de cumplirse para cualquier 
valor entero de n igual o superior a 1 
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Haciendo que Ay B sean ahorael resultado de cifrar con n + 1 rondas tenemos: 

D n+I ^ +I (L,R),E« +1 (L,R)) = 

= D n ^ +1 (L,R),Ei +1 (L,R)»f(E^L,R) i K n -\~ i)^ 

Sustituyendo E^ +1 (L, R ) y E^ +1 (L, R ) en la parte derecha de la anterior expre- 
sión nos queda: 

D„ + 1 (sí + 1 (L,i?),B* + 1 (L,fl)) = 

= D„[Et(L, R ), ( /■;,"(/., /í i ffi f(E%(L, R ), A'„ , ,i) fB ( K E n (E, .fí), 

o sea, 

^ +1 fe +1 (A^),^ + i(A^)) = D^Eí(L,R),E«(L,R)]=L 
Dn+i yEn+i(L, R), E„ + i(L, R)J = D*\eZ(L, R), E*(L, R)) = R 

con lo que finaliza nuestra demostración. 


10.1.2. Cifrados con Estructura de Grupo 

Otra de las cuestiones a tener en cuenta en los cifrados de producto es la posibi- 
lidad de que posean estructura de grupo. Se dice que un cifrado tiene estructura de 
grupo si se cumple la siguiente propiedad: 

Vh,k 2 ,M 3 k 3 tal que E k2 (E kl (M)) — E kz (M) (10.2) 

esto es, si hacemos dos cifrados encadenados con k\ y k 2 , existe una clave k 3 que 
realiza la transformación equivalente. 

Es interesante que un algoritmo criptográfico carezca de este tipo de estructura, 
ya que si ciframos un mensaje primero con la clave k\ y el resultado con la clave 
k- 2 , es como si hubiéramos empleado una clave de longitud doble, aumentando la 
seguridad dei sistema. Si, por el contrario, la transformación criptográfica presentara 
estructura de grupo, esto hubiera sido equivalente a cifrar el mensaje una única vez 
con una tercera clave, con lo que no habríamos ganado nada. 
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Figura 10.2: A: S-Caja individual. B: combinación de cuatro S-Cajas. 


10.1.3. S-Cajas 


Hemos dicho antes que para poder construir buenos algoritmos de producto, in¬ 
tercalaremos sustituciones sencillas (confusión), con tablas pequenas, y permutacio- 
nes (difusión). Estas tablas pequenas de sustitución se denominan de forma genérica 
S-Cajas. 

Una S-Caja de m x n bits (ver figura 10.2) es una tabla de sustitución que toma 
como entrada cadenas de m bits y da como salida cadenas de n bits. DES, por ejemplo, 
emplea ocho S-Cajas de 6 x 4 bits. La utilización de las S-Cajas es sencilla: se divide 
el bloque original en trozos de m bits y cada uno de ellos se sustituye por otro de n 
bits, haciendo uso de la S-Caja correspondiente. Normalmente, cuanto más grandes 
sean las S-Cajas, más resistente será el algoritmo resultante, aunque la elección de los 
valores de salida para que den lugar a un buen algoritmo no es en absoluto trivial. 

Existe un algoritmo criptográfico, llamado CAST, que emplea seis S-Cajas de 8 x 32 
bits. CAST codifica bloques de 64 bits empleando claves de 64 bits, consta de ocho 
rondas y deposita prácticamente toda su fuerza en las S-Cajas. De hecho, existen mu- 
chas variedades de CAST, cada una con sus S-Cajas correspondientes —algunas de 
ellas secretas—. Este algoritmo se ha demostrado resistente a las técnicas habituales 
de criptoanálisis, y sólo se conoce la fuerza bruta como mecanismo para atacarlo. 
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Figura 10.3: Esquema de la función / dei algoritmo DES. 


10.2. El Algoritmo DES 


Es el algoritmo simétrico más extendido mundialmente. Se basa en el algoritmo 
LUCIFER, que había sido desarrollado por IBM a principios de los setenta, y fue 
adoptado como estándar por el Gobierno de los EE.UU. para comunicaciones no cla- 
sificadas en 1976. En realidad la NSA lo disenó para ser implementado por hardware, 
creyendo que los detalles iban a ser mantenidos en secreto, pero la Oficina Nacional 
de Estandarización publico su especificación con suficiente detalle como para que 
cualquiera pudiera implementado por software. No fue casualidad que el siguiente 
algoritmo adoptado ( Skipjack ) fuera mantenido en secreto. 

A mediados de 1998, se demostro que un ataque por la fuerza bruta a DES era 
viable, debido a la escasa longitud que emplea en su clave. No obstante, el algoritmo 
aún no ha demostrado ninguna debilidad grave desde el punto de vista teórico, por 
lo que su estúdio sigue siendo plenamente interesante. 

El algoritmo DES codifica bloques de 64 bits empleando claves de 56 bits. Es una 
Red de Feistel de 16 rondas, más dos permutaciones, una que se aplica al principio 
(Pi) y otra que se aplica al final (Pf), tales que P % = Pj 1 . 

La función / (figura 10.3) se compone de una permutación de expansión ( E ), que 
convierte el bloque de 32 bits correspondiente en uno de 48. Después realiza un or- 
exclusivo con el valor K ir también de 48 bits, aplica ocho S-Cajas de 6 x 4 bits, y efectúa 
una nueva permutación P. 
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Figura 10.4: Cálculo de las K: t para el algoritmo DES. EP1 representa la primera elec- 
ción permutada, que sólo conserva 56 bits de los 64 de entrada, y EP2 representa la 
segunda, que se queda con 48 bits. 


Se calcula un total de 16 valores de K, (figura 10.4), uno para cada ronda, efec- 
tuando primero una permutación inicial EP1 sobre la clave de 64 bits, llevando a 
cabo desplazamientos a la izquierda de cada una de las dos mitades —de 28 bits— 
resultantes, y realizando finalmente una elección permutada (EP2) de 48 bits en cada 
ronda, que será la K t . Los desplazamientos a la izquierda son de dos bits, salvo para 
las rondas 1, 2, 9 y 16, en las que se desplaza sólo un bit. Nótese que aunque la clave 
para el algoritmo DES tiene en principio 64 bits, se ignoran ocho de ellos —un bit de 
paridad por cada byte de la clave—, por lo que en la práctica se usan sólo 56 bits. 

Para descifrar basta con usar el mismo algoritmo (ya que P, = Pj l ) empleando 
las Ki en orden inverso. 


10.2.1. Claves Débiles en DES 

El algoritmo DES presenta algunas claves débiles. En general, todos aquellos valo¬ 
res de la llave que conducen a una secuencia inadecuada de K, serán poco recomen- 
dables. Distinguiremos entre claves débiles (cuadro 10.1), que son aquellas que gene- 
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Clave 

Clave tras aplicar EP1 

0101010101010101 

1F1F1F1F0E0E0E0E 

E0E0E0E0F1F1F1F1 

FEFEFEFEFEFEFEFE 

0000000 0000000 

0000000 FFFFFFF 

FFFFFFF 0000000 

FFFFFFF FFFFFFF 


Cuadro 10.1: Claves débiles para el algoritmo DES (64 bits), expresadas en hexadeci¬ 
mal. 


Clave 

Clave tras aplicar EP 1 

01FE01FE01FE01FE 

FE01FE01FE01FE01 

1FE01FE00EF10EF1 

E01FE01FF10EF10E 

01E001E001F101F1 

E001E001F101F101 

1FFE1FFE0EFE0EFE 

FE1FFE1FFE0EFE0E 

011F011F010E010E 

1F011F010E010E01 

E0FEE0FEF1FEF1FE 

FEE0FEE0FEF1FEF1 

AAAAAAA AAAAAAA 

5555555 5555555 

AAAAAAA 5555555 

5555555 AAAAAAA 

AAAAAAA 0000000 

5555555 0000000 

AAAAAAA FFFFFFF 

5555555 FFFFFFF 

0000000 AAAAAAA 

0000000 5555555 

FFFFFFF AAAAAAA 

FFFFFFF 5555555 


Cuadro 10.2: Claves semi-débiles para el algoritmo DES (64 bits), expresadas en he¬ 
xadecimal. 


ran un conjunto de dieciséis valores iguales de K t —y que cumplen E/,(C/,(M)) = 
M —, y claves semidébiles (cuadro 10.2), que generan dos valores diferentes de K u ca¬ 
da uno de los cuales aparece ocho veces. En cualquier caso, el número de llaves de 
este tipo es tan pequeno en comparación con el número total de posibles claves, que 
no debe suponer un motivo de preocupación. 


10.3. Variantes de DES 


A mediados de julio de 1998, una empresa sin ânimo de lucro, llamada EFF (Elec¬ 
tronic Frontier Foundation), logró fabricar una máquina capaz de descifrar un men- 
saje DES en menos de tres dias. Curiosamente, pocas semanas antes, un alto cargo 
de la NSA había declarado que dicho algoritmo seguia siendo seguro, y que desci- 
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frar un mensaje resultaba aún excesivamente costoso, incluso para organizaciones 
gubernamentales. DES-Cracker costó menos de 250.000 euros. 

A pesar de su caída, DES sigue siendo ampliamente utilizado en multitud de apli- 
caciones, como por ejemplo las transacciones de los cajeros automáticos. De todas 
formas, el problema real de DES no radica en su diseno, sino en que emplea una clave 
demasiado corta (56 bits), lo cual hace que con el avance actual de las computadoras 
los ataques por la fuerza bruta comiencen a ser opciones realistas. Mucha gente se 
resiste a abandonar este algoritmo, precisamente porque ha sido capaz de sobrevivir 
durante veinte anos sin mostrar ninguna debilidad en su diseno, y prefieren propo- 
ner variantes que, de un lado evitarían el riesgo de tener que confiar en algoritmos 
nuevos, y de otro permitirían aprovechar gran parte de las implementaciones por 
hardware existentes de DES. 


10.3.1. DES Múltiple 

Consiste en aplicar varias veces el algoritmo DES con diferentes claves al mensaje 
original. Se puede hacer ya que DES no presenta estructura de grupo (ecuación 10.2). 
El más común de todos ellos es el Triple-DES, que responde a la siguiente estructura: 

C = E tt (E^(E h (M))) 

es decir, codificamos con la subclave k\, decodificamos con k 2 y volvemos a codificar 
con k\. La clave resultante es la concatenación de k\ y k 2 , con una longitud de 112 
bits. 


10.3.2. DES con Subclaves Independientes 

Consiste en emplear subclaves diferentes para cada una de las 16 rondas de DES. 
Puesto que estas subclaves son de 48 bits, la clave resultante tendría 768 bits en total. 
No es nuestro objetivo entrar en detalles, pero empleando criptoanálisis diferencial, 
esta variante podría ser rota con 2 61 textos claros escogidos, por lo que en la práctica 
no presenta un avance sustancial sobre DES estándar. 


10.3.3. DES Generalizado 

Esta variante emplea n trozos de 32 bits en cada ronda en lugar de dos, por lo que 
aumentamos tanto la longitud de la clave como el tamano de mensaje que se puede 
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codificar, manteniendo sin embargo el orden de complejidad dei algoritmo. Se ha 
demostrado sin embargo que no sólo se gana poco en seguridad, sino que en muchos 
casos incluso se pierde. 


10.3.4. DES con S-Cajas Alternativas 

Consiste en utilizar S-Cajas diferentes a las de la versión original de DES. En la 
práctica no se han encontrado S-Cajas mejores que las propias de DES. De hecho, 
algunos estúdios han revelado que las S-Cajas originales presentan propiedades que 
las hacen resistentes a técnicas de criptoanálisis que no fueron conocidas fuera de la 
NSA hasta muchos anos después de la aparición dei algoritmo. 


10.4. El algoritmo IDEA 

El algoritmo IDEA (International Data Encryption Algorithm) es bastante más 
joven que DES, pues data de 1992. Para muchos constituye el mejor y más seguro 
algoritmo simétrico disponible en la actualidad. Trabaja con bloques de 64 bits de 
longitud y emplea una clave de 128 bits. Como en el caso de DES, se usa el mismo 
algoritmo tanto para cifrar como para descifrar. 

IDEA es un algoritmo bastante seguro, y hasta ahora se ha mostrado resistente 
a multitud de ataques, entre ellos el criptoanálisis diferencial. No presenta claves 
débiles 2 , y su longitud de clave hace imposible en la práctica un ataque por la fuerza 
bruta. 

Como ocurre con todos los algoritmos simétricos de cifrado por bloques, IDEA se 
basa en los conceptos de confusión y difusión, haciendo uso de las siguientes opera- 
ciones elementales (todas ellas fáciles de implementar): 

- XOR. 

■ Suma módulo 2 16 . 

■ Producto módulo 2 16 + 1. 

El algoritmo IDEA consta de ocho rondas. Dividiremos el bloque X a codificar, de 
64 bits, en cuatro partes X\, X 2 , X 3 y X 4 de 16 bits. Para la interpretación entera de 

2 En realidad, IDEA tiene un pequenísimo subconjunto de claves que pueden dar ciertas ventajas a 
un criptoanalista, pero la probabilidad de encontramos con una de ellas es de 1 entre 2 96 , por lo que 
no representan un peligro real. 
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dichos registros se empleará el critério big endian, lo cual significa que el primer byte 
es el más significativo. Denominaremos Z % a cada una de las 52 subclaves de 16 bits 
que vamos a necesitar. Las operaciones que llevaremos a cabo en cada ronda son las 
siguientes: 

1. Multiplicar X 4 por Z\. 

2. Sumar X 2 con Z 2 . 

3. Sumar X 3 con Z 3 . 

4. Multiplicar X 4 por Z 4 . 

5. Hacer un XOR entre los resultados dei paso 1 y el paso 3. 

6. Hacer un XOR entre los resultados dei paso 2 y el paso 4. 

7. Multiplicar el resultado dei paso 5 por Z 5 . 

8. Sumar los resultados de los pasos 6 y 7. 

9. Multiplicar el resultado dei paso 8 por Z 6 . 

10. Sumar los resultados de los pasos 7 y 9. 

11. Hacer un XOR entre los resultados de los pasos 1 y 9. 

12. Hacer un XOR entre los resultados de los pasos 3 y 9. 

13. Hacer un XOR entre los resultados de los pasos 2 y 10. 

14. Hacer un XOR entre los resultados de los pasos 4 y 10. 

La salida de cada iteración serán los cuatro sub-bloques obtenidos en los pasos 
11, 12, 13 y 14, que serán la entrada dei siguiente ciclo, en el que emplearemos las 
siguientes seis subclaves, hasta un total de 48. Al final de todo intercambiaremos los 
dos bloques centrales (en realidad con eso deshacemos el intercâmbio que llevamos a 
cabo en los pasos 12 y 13). 

Después de la octava iteración, se realiza la siguiente transformación: 

1. Multiplicar X 4 por Z m . 

2. Sumar X 2 con Z 50 . 

3. Sumar X 3 con Z 51 . 
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Ronda 

Subclaves de Cifrado 

Subclaves de Descifrado 

1 

Zi 

z 2 

z 3 

Z4 

Z 5 

Zq 

^49 

—Z50 

— Z51 

y-Y 

^52 

Z47 

Z48 

2 

z 7 

Z 8 

Z 9 

Z10 

Zn 

Z\2 

7- 1 

^43 

-^45 

— Z44 

7 — 1 

^46 

-ZA 

^42 

3 

Z\:í 

Zl4 

z 15 

Z16 

Z\7 

Z\8 

y-\ 

^37 

—Z 39 

— Z38 

7-1 

^40 

Z35 

Z3Q 

4 

Z\9 

Z20 

Z21 

Z22 

Z 2 3 

Z 2 4 

7—I 

^31 

— Z33 

— Z32 

y-\ 

^34 

Z 2 9 

Z30 

5 

Z 2 5 

Z26 

Z27 

Z28 

Z 29 

Z30 

7-I 

^25 

— Z27 

Z 2 6 

y-\ 

Z 28 

Z23 

Z 2 4 

6 

Z31 

Z32 

Z33 

Z34 

Z35 

Z36 

7-I 

^19 

—Z 2 \ 

— Z 2 Q 

y-\ 

L 22 

Zyj 

Z\8 

7 

Z37 

Z38 

Z39 

Z40 

Z41 

Z42 


— Z\5 

Z\4 

y-\ 

^16 

Zn 

Z\2 

8 

Z43 

Z44 

Z45 

Z46 

Z47 

Z48 

Zf 1 

Zg 

-Z 8 

^“o 1 

^5 

Zq 

Final 

Z49 

Z50 

Z51 

Z52 



Zf l 

Z 2 

Z3 

Z~4^ 




Cuadro 10.3: Subclaves empleadas en el algoritmo IDEA 


4. Multiplicar X 4 por Z 52 . 

Las primeras ocho subclaves se calculan dividiendo la clave de entrada en bloques 
de 16 bits. Las siguientes ocho se calculan rotando la clave de entrada 25 bits a la 
izquierda y volviendo a dividiria, y así sucesivamente. 

Las subclaves necesarias para descifrar se obtienen cambiando de orden las Z, y 
calculando sus inversas para la suma o la multiplicación, según el cuadro 10.3. Pues- 
to que 2 16 + 1 es un número primo, nunca podremos obtener cero como producto 
de dos números, por lo que no necesitamos representar dicho valor. Cuando esternos 
calculando productos, utilizaremos el cero para expresar el número 2 16 —un uno se¬ 
guido de 16 ceros—. Esta representación es coherente puesto que los registros que se 
emplean internamente en el algoritmo poseen únicamente 16 bits. 


10.5. El algoritmo Rijndael (AES) 

En octubre de 2000 el NIST ( National Institutefor Standards and Technology ) anuncia- 
ba oficialmente la adopción dei algoritmo Rijndael (pronunciado más o menos como 
reindal 3 ) como nuevo Estándar Avanzado de Cifrado (AES) para su empleo en aplica- 
ciones criptográficas no militares, culminando así un proceso de más de tres anos, 
encaminado a proporcionar a la comunidad internacional un nuevo algoritmo de ci¬ 
frado potente, eficiente, y fácil de implementar. DES tenía por fin un sucesor. 

La palabra Rijndael —en adelante, para referimos a este algoritmo, emplearemos 
la denominación AES— es un acrónimo formado por los nombres de sus dos autores, 

3 Gracias a Sven Magnus por la aclaración. 
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los belgas Joan Daemen y Vincent Rijmen. Su interés radica en que todo el proceso de 
selección, revisión y estúdio tanto de este algoritmo como de los restantes candidatos, 
se ha efectuado de forma pública y abierta, por lo que, prácticamente por primera 
vez, toda la comunidad criptográfica mundial ha participado en su análisis, lo cual 
convierte a Rijndael en un algoritmo perfectamente digno de la confianza de todos. 

AES es un sistema de cifrado por bloques, disehado para manejar longitudes de 
clave y de bloque variables, ambas comprendidas entre los 128 y los 256 bits. Realiza 
varias de sus operaciones internas a nivel de byte, interpretando éstos como elemen¬ 
tos de un cuerpo de Galois GF( 2 8 ) (ver sección 5.8.1). El resto de operaciones se efec- 
túan en términos de registros de 32 bits. Sin embargo, en algunos casos, una secuencia 
de 32 bits se toma como un polinomio de grado inferior a 4, cuyos coeficientes son a 
su vez polinomios en GF(2 8 ). 

Si bien, como ya se ha dicho, este algoritmo soporta diferentes tamahos de bloque 
y clave, en el estándar adoptado por el Gobierno Estadounidense en noviembre de 
2001 (FIPS PUB 197), se especifica una longitud fija de bloque de 128 bits (N b = 4 , 
como se verá más adelante), y la longitud de clave a escoger entre 128,192 y 256 bits. 


10.5.1. Estructura de AES 

AES, a diferencia de algoritmos como DES, no posee estructura de red de Feistel. 
En su lugar se ha definido cada ronda como una composición de cuatro funciones 
invertibles diferentes, formando tres capas, disehadas para proporcionar resistência 
frente a criptoanálisis lineal y diferencial (sección 10.7). Cada una de las funciones 
tiene un propósito preciso: 

■ La capa de mezcla lineal —funciones DesplazarFila y MezclarColumnas — permite 
obtener un alto nivel de difusión a lo largo de varias rondas. 

■ La capa no lineal —función ByteSnb — consiste en la aplicación paralela de s-cajas 
con propiedades óptimas de no linealidad. 

■ La capa de adición de clave es un simple or-exclusivo entre el estado intermédio y 
la subclave correspondiente a cada ronda. 


10.5.2. Elementos de AES 

AES es un algoritmo que se basa en aplicar un número determinado de rondas 
a un valor intermédio que se denomina estado. Dicho estado puede representarse 
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10. Cifrados por Bloques 


«0,0 

«0,1 

«0,2 

«0,3 

«0,4 

«1,0 

«1,1 

«1,2 

«1,3 

«1,4 

«2,0 

«2,1 

«2,2 

«2,3 

«2,4 

«3,0 

«3,1 

«3,2 

«3,3 

«3,4 


Cuadro 10.4: Ejemplo de matriz de estado con N b =5 (160 bits). 


^ 0,0 

^ 0,1 

ko,2 

0 

CO 

ki t o 

h,i 

ki ,2 

ki ,3 

^2,0 

^ 2,1 

^2,2 

^2,3 

^3,0 

&3,1 

^3,2 

^3,3 


Cuadro 10.5: Ejemplo de clave con A fc =4 (128 bits). 


mediante una matriz rectangular de bytes, que posee cuatro filas, y N b columnas. 
Así, por ejemplo, si nuestro bloque tiene 160 bits (cuadro 10.4), N b será igual a 5. 

La clave tiene una estructura análoga a la dei estado, y se representará mediante 
una tabla con cuatro filas y N k columnas. Si nuestra clave tiene, por ejemplo, 128 bits, 
N k será igual a 4 (cuadro 10.5). 

En algunos casos, tanto el estado como la clave se consideran como vectores de 
registros de 32 bits, estando cada registro constituido por los bytes de la columna 
correspondiente, ordenados de arriba a abajo. 

El bloque que se pretende cifrar o descifrar se traslada directamente byte a byte 
sobre la matriz de estado, siguiendo la secuencia a 0 ,o, «i,o, « 2 , 0 , 03 , 0 , « 0,1 ■ • y análoga¬ 
mente, los bytes de la clave se copian sobre la matriz de clave en el mismo orden, a 
saber, k 0 0: ^ 2 , 0 ? k 30 , &o,i • • •• 

Siendo B el bloque que queremos cifrar, y S la matriz de estado, el algoritmo AES 
con n rondas queda como sigue: 

1. Calcular K 0 , K\ ,... K n subclaves a partir de la clave K. 

2. S < — B © K 0 

3. Para i — 1 hasta n hacer 

4. Aplicar ronda i-ésima dei algoritmo con la subclave K t . 

Puesto que cada ronda es una sucesión de funciones invertibles, el algoritmo de 
descifrado consistirá en aplicar las inversas de cada una de las funciones en el orden 
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N b = 4 (128 bits) 

N b = 6 (192 bits) 

N b = 8 (256 bits) 

N k = 4 (128 bits) 

10 

12 

14 

N k = 6 (192 bits) 

12 

12 

14 

N k = 8 (256 bits) 

14 

14 

14 


Cuadro 10.6: Número de rondas para AES en función de los tamanos de clave y blo¬ 
que. 


contrario, y utilizar los mismos K x que en el cifrado, sólo que comenzando por el 
último. 


10.5.3. Las Rondas de AES 

Puesto que AES permite emplear diferentes longitudes tanto de bloque como de 
clave, el número de rondas requerido en cada caso es variable. En el cuadro 10.6 se 
especifica cuántas rondas son necesarias en función de N b y N k . 

Siendo S la matriz de estado, y K, la subclave correspondiente a la ronda i-ésima, 
cada una de las rondas posee la siguiente estructura: 

1. S <— ByteSub(S) 

2. S * — DesplazarFila(S) 

3. S < — MezclarColumnas(S) 

4. S <— Ki © S 

La última ronda es igual a las anteriores, pero eliminando el paso 3. 


Función ByteSub 

La transformación ByteSub es una sustitución no lineal que se aplica a cada byte de 
la matriz de estado, mediante una s-caja 8x8 invertible, que se obtiene componiendo 
dos transformaciones: 

1. Cada byte es considerado como un elemento dei GF( 2 8 ) que genera el poli- 
nomio irreducible m{x ) = x 8 + x á + x 3 + x + 1 , y sustituido por su inversa 
multiplicativa. El valor cero queda inalterado. 


Manuel J. Lucena López 


Criptografia y Seguridad en Computadores 













156 


10. Cifrados por Bloques 


DesplazarFila 


a 0,0 

a 0,1 

a 0,2 

a 0,3 

a 0,4 






a 1,0 

a 1,1 

a 1 ,2 

a 1 ,3 

a 1 ,4 

a 2,0 

a 2,1 

a 2,2 

a 2,3 

a 2,4 

a 3,0 

a 3,1 

a 3.2 

a 3,3 

a 3,4 

v 


MezclarColumnas 


Figura 10.5: Esquema de las funciones DesplazarFila y MezclarColumnas de AES. 


2. El siguiente paso consiste en aplicar la siguiente transformación afín en GF( 2), 
siendo x 0 , X \,..., x 7 los bits dei byte correspondiente, e y 0 , yi,..., y 7 los dei re¬ 
sultado: 


Vo " 


' 1 

0 

0 

0 

1 

1 

1 

1 ' 


" Xq ' 


' 1 ' 

yi 


1 

1 

0 

0 

0 

1 

1 

1 


X\ 


1 

2/2 


1 

1 

1 

0 

0 

0 

1 

1 


X2 


0 

2/3 


1 

1 

1 

1 

0 

0 

0 

1 


X 3 

+ 

0 

Vi 


1 

1 

1 

1 

1 

0 

0 

0 


X/í 

0 

2/5 


0 

1 

1 

1 

1 

1 

0 

0 


x 5 


1 

2/6 


0 

0 

1 

1 

1 

1 

1 

0 


x 6 


1 

2/7 


0 

0 

0 

1 

1 

1 

1 

1 


x 7 


0 


La función inversa de ByteSub seria la aplicación de la inversa de la s-caja corres¬ 
pondiente a cada byte de la matriz de estado. 


Función DesplazarFila 

Esta transformación (figura 10.5) consiste en desplazar a la izquierda ciclicamente 
las filas de la matriz de estado. Cada fila f % se desplaza un número de posiciones 
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N b 

Cl 

c 2 

c 3 

4 

1 

2 

3 

6 

1 

2 

3 

8 

1 

3 

4 


Cuadro 10.7: Valores de c, según el tamano de bloque N b 


Ci diferente. Mientras que c 0 siempre es igual a cero (esta fila siempre permanece 
inalterada), el resto de valores viene en función de N b y se refleja en el cuadro 10.7. 

La función inversa de DesplazarFila será, obviamente, un desplazamiento de las 
filas de la matriz de estado el mismo número de posiciones que en el cuadro 10.7, 
pero a la derecha. 


Función MezclarColumnas 

Para aplicar esta función (ver figura 10.5), cada columna dei vector de estado se 
considera un polinomio cuyos coeficientes pertenecen a GF(2 8 ) —es decir, son tam- 
bién polinomios- y se multiplica módulo x A + 1 por: 


c(x) = 03a; 3 + 01x 2 + 01x + 02 

donde 03 es el valor hexadecimal que se obtiene concatenando los coeficientes biná¬ 
rios dei polinomio correspondiente en GF(2 8 ), en este caso 00000011, o sea, x + 1, y 
así sucesivamente. 

La inversa de MezclarColumnas se obtiene multiplicando cada columna de la ma¬ 
triz de estado por el polinomio: 

d{x) = 0 Ba; 3 + ODx 2 + 09a; + 0E 

10.5.4. Cálculo de las Subclaves 

Las diferentes subclaves Aj se derivan de la clave principal K mediante el uso de 
dos funciones: una de expansión y otra de selección. Siendo n el número de rondas 
que se van a aplicar, la función de expansión permite obtener, a partir dei valor de K, 
una secuencia de 4-(n+l)-V íl bytes. La selección simplemente toma consecutivamente 
de la secuencia obtenida bloques dei mismo tamano que la matriz de estado, y los va 
asignando a cada AT*. 
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10. Cifrados por Bloques 


Sea K (i) un vector de bytes de tamano 4 • N k , conteniendo la clave, y sea W(i) un 
vector de N b • (n + 1) registros de 4 bytes, siendo n el número de rondas. La función 
de expansión tiene dos versiones, según el valor de N k : 

a) Si N k < 6: 

1. Para i desde 0 hasta N k — 1 hacer 

2. W(i) <- (Jl (4 • i),K(A- i + l), K(A ■ i + 2), K(4 ■ i + 3)) 

3. Para i desde N k hasta N b ■ (n + 1) hacer 

4. tmp W(i — 1) 

5. Si í mód A*. = 0 

6. tmp Sub(Rot(tmp )) © Rc(i/N k ) 

7. W(í) VP(z — A/"?;) © tmp 

b) Si iV fc > 6: 

1. Para i desde 0 hasta iV fc — 1 hacer 

2. W(i) (Jí (4 • i), iú(4 • i + 1), Jí (4 • i + 2), Jl (4 • i + 3)) 

3. Para i desde iV fc hasta • (n + 1) hacer 

4. tmp <— W(i — 1) 

5. Si * mód iV fc = 0 

6 . tmp Sub{Rot(tmp )) © Rc(i/N k ) 

7. Si i mód iV fc = 4 

8. tmp <— Sub(tmp) 

9. W(í) W(í — © tmp 

En los algoritmos anteriores, la función ,5'uó devuelve el resultado de aplicar la 
s-caja de AES a cada uno de los bytes dei registro de cuatro que se le pasa como parâ¬ 
metro. La función Rot desplaza a la izquierda una posición los bytes dei registro, de 
tal forma que si le pasamos como parâmetro el valor (a, b, c, d ) nos devuelve (6, c, d, a). 
Finalmente, R.c(j) es una constante definida de la siguiente forma: 

■ Rc (j) = (R(j), 0,0,0) 

■ Cada R(i) es el elemento de GF( 2 8 ) correspondiente al valor x0~ 1 \ módulo 
x s + x 4 + x 3 + X + 1 . 
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10.5.5. Seguridad de AES 

Según sus autores, es altamente improbable que existan claves débiles o semidé- 
biles en AES, debido a la estructura de su diseno, que busca eliminar la simetria en 
las subclaves. También se ha comprobado que es resistente a criptoanálisis tanto li¬ 
neal como diferencial (ver sección 10.7). En efecto, el método más eficiente conocido 
hasta la fecha para recuperar la clave a partir de un par texto cifrado-texto claro es la 
búsqueda exhaustiva, por lo que podemos considerar este algoritmo como uno de los 
más seguros en la actualidad. Otro hecho que viene a corroborar la fortaleza de AES 
es que en junio de 2003 fue aprobado por la NSA para cifrar información clasificada 
como alto secreto. 


10.6. Modos de Operación para Algoritmos de Cifrado 
por Bloques 

En esta sección comentaremos algunos métodos para aplicar cifrados por bloques 
a mensajes de gran longitud. En general, habrá que subdividir el mensaje original 
en trozos dei mismo tamaho pero, ^que ocurre cuando la longitud de la cadena que 
queremos cifrar no es un múltiplo exacto dei tamaho de bloque? En ese caso será ne- 
cesario ahadir información de relleno (padding) al final de la misma para que sí lo sea, 
de forma que el mensaje pueda recuperar su longitud original, una vez descifrado. 
El mecanismo más sencillo consiste en rellenar con ceros (o algún otro patrón) el úl¬ 
timo bloque que se codifica. El problema ahora estriba en saber el tamaho exacto dei 
relleno para eliminarlo posteriormente. Lo que se suele hacer es ahadir como último 
byte dei último bloque el número de bytes que se han ahadido (ver figura 10.6). Esto 
tiene el inconveniente de que si el tamaho original es múltiplo dei bloque, hay que 
alargado con otro bloque entero. Por ejemplo, si el tamaho de bloque fuera 64 bits, y 
nos sobraran cinco bytes al final, ahadiríamos dos ceros y un tres, para completar los 
ocho bytes necesarios en el último bloque. Si por contra no sobrara nada, tendríamos 
que ahadir siete ceros y un ocho. 


10.6.1. Modo ECB 

El modo ECB (Electronic Codebook) es el método más sencillo y directo de aplicar 
un algoritmo de cifrado por bloques. Simplemente se subdivide la cadena que se 
quiere codificar en bloques dei tamaho adecuado y se cifran todos ellos empleando 
la misma clave. 
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0 

0 

0 

0 

5 






0 

0 

0 

4 


0 

0 

0 

0 

0 

0 

0 

00 


□ 

□ 


Bytes pertenecientes al mensaje. 
Bytes anadidos. 


Figura 10.6: Ejemplos de relleno ( padding ) al emplear un algoritmo de cifrado por 
bloques de 64 bits (8 bytes), en los que el último bloque tiene: a) 3 bytes, b) 4 bytes, c) 
8 bytes. Obsérvese cómo en el caso c) se anade un bloque completo al mensaje. 


A favor de este método podemos decir que permite codificar los bloques indepen- 
dientemente de su orden, lo cual es adecuado para cifrar bases de datos o ficheros en 
los que se requiera un acceso aleatorio. También es resistente a errores, pues si uno 
de los bloques sufriera una alteración, el resto quedaria intacto. 

Por contra, si el mensaje presenta patrones repetitivos, el texto cifrado también 
los presentará, y eso es peligroso, sobre todo cuando se codifica información muy 
redundante (como ficheros de texto), o con patrones comunes al inicio y final (como 
el correo electrónico). Un atacante puede en estos casos efectuar un ataque estadístico 
y extraer bastante información. 

Otro riesgo bastante importante que presenta el modo ECB es el de la sustitución 
de bloques. El atacante puede cambiar un bloque sin mayores problemas, y alterar los 
mensajes incluso desconociendo la clave y el algoritmo empleados. Simplemente se 
escucha una comunicación de la que se conozca el contenido, como por ejemplo una 
transacción bancaria a nuestra cuenta corriente. Luego se escuchan otras comunica- 
ciones y se sustituyen los bloques correspondientes al número de cuenta dei benefi¬ 
ciário de la transacción por la versión codificada de nuestro número (que ni siquiera 
nos habremos molestado en descifrar). En cuestión de horas nos habremos hecho ri¬ 
cos. 
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Figura 10.7: Modo de operación CBC. A: cifrado, B: descifrado. V.I.: Vector de Inicia- 
cización. 


10.6.2. Modo CBC 


El modo CBC (Cipher Book Chaining Moáe ) incorpora un mecanismo de retroali- 
mentación en el cifrado por bloques. Esto significa que ei cifrado de bloques anterio¬ 
res condiciona la codificación dei actual, por lo que será imposible sustituir un bloque 
individual en el mensaje cifrado, ya que esta sustitución afectará a dos bloques en el 
mensaje descifrado resultante. Esto se consigue efectuando una operación XOR entre 
el bloque dei mensaje que queremos codificar y el último criptograma obtenido (ver 
figura 10.7). Para cifrar el primer bloque, se emplea el denominado vector de inicaliza- 
ción (V.I.), que deberá ser conocido por ambos interlocutores. 

Este método evita que un atacante inserte, elimine o reordene bloques dei mensaje 
cifrado. También puede comprobarse que los textos cifrados correspondientes a dos 
cadenas que difieran en un único bit, serán idênticos hasta el bloque que contenga 
ese bit, momento a partir dei cual serán totalmente distintos. Esto permitiría a un ata¬ 
cante identificar mensajes con inicios comunes. Para evitar este problema, se puede 
usar un vector de inicialización diferente para cada mensaje. 
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Figura 10.8: Esquema dei modo de operación CFB. A: cifrado, B: descifrado. V.I.: 
Vector de Iniciacización. 


10.6.3. Modo CFB 


El modo de operación CFB ( Cipher-Feedback ), cada bloque es cifrado y luego com¬ 
binado, mediante la operación XOR, con el siguiente bloque dei mensaje original. Al 
igual que en el modo CBC, se emplea un vector de inicialización a la hora de codificar 
el primer bloque. Con este método, si se produce un error en la transmisión, ésta se 
vuelve a sincronizar de forma automática, a partir dei segundo bloque consecutivo 
que llegue de forma correcta. 

Una ventaja importante de este modo de operación radica en el hecho de que la 
longitud de los bloques dei mensaje puede ser menor que la longitud de bloque que 
acepta el algoritmo de cifrado. Esto ocurre porque el paso final para calcular cada 
Ci es un or-exclusivo entre el último bloque cifrado y el valor de M u operación que 
puede llevarse a cabo a trozos. El modo de operación CFB es, por tanto, apto para 
ser usado en situaciones en las que se requiere enviar la información en paquetes más 
pequenos que la longitud de bloque dei algoritmo de cifrado subyacente, como por 
ejemplo cuando se quiere cifrar la comunicación de una computadora con un termi¬ 
nal remoto —teclado y monitor—. También es destacable que, tanto para codificar 
como a la hora de descifrar, se usa únicamente la operación de cifrado dei algoritmo 
por bloques correspondiente. 
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10.6.4. Otros Modos 

Otro modo de operación interesante es ei llamado OFB ( Output-Feedback ). En reali- 
dad, este método genera una una secuencia de bloques totalmente independiente dei 
mensaje, que luego se combina con éste último bit a bit. Esto es en realidad lo que se 
conoce por cifrado deflujo, que veremos con detalle en el capítulo 11. En concreto, el 
modo de operación OFB, será comentado en la sección 11.4.1. 

Aparte de los aqui comentados, existen otros modos de operación sobre algorit¬ 
mos de cifrado por bloques, cada uno de ellos adaptado a las diferentes necesidades 
que surgen en distintas aplicaciones concretas. 


10.7. Criptoanálisis de Algoritmos de cifrado por Blo¬ 
ques 


Se podría decir que el criptoanálisis se comenzó a estudiar seriamente con la apa- 
rición de DES. El interés por buscar posibles debilidades en él no solo ha llevado a 
desarrollar técnicas que posteriormente han tenido êxito con otros algoritmos, sino 
a descubrir el porquê de algunas de sus inicialmente secretas directrices de diseno, 
elaboradas con todos los conocimientos que, por entonces, poseía la NSA. 

Ni que decir tiene que estos métodos no han conseguido doblegar a DES —de 
hecho, hoy sabemos que DES fue disenado para maximizar su resistência frente a 
alguno de ellos, casi veinte anos antes de ser conocidos por la comunidad cientí¬ 
fica—, pero sí pueden proporcionar mecanismos significativamente más eficientes 
que la fuerza bruta. En esta sección veremos algunos de ellos, aplicables a cualquier 
método de cifrado por bloques, y que son tenidos en cuenta en la actualidad a la hora 
de disenar nuevos algoritmos. 


10.7.1. Criptoanálisis Diferencial 

Descubierto por Biham y Shamir en 1990, aunque ya conocido en 1974 por IBM y 
la NSA, permite efectuar un ataque de texto claro escogido que resulta más eficiente 
que la fuerza bruta para DES. Para ello se generan pares de mensajes idênticos, que 
difieren en una serie de bits fijados de antemano. Después se calcula la diferencia 
entre los dos criptogramas asociados, con la esperanza de detectar patrones estadísti- 
cos. Por ejemplo, podemos definir AM como la diferencia entre dos textos claros M\ 
y M 2 , de manera que AM = M\ © M 2 . Cifrando entonces M\ y M 2 obtendríamos la 
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diferencia en bits entre los textos cifrados, 

A C = E k (M l )®E k (M 2 ) 

Denominaremos diferencial al par (AM, AC) que acabamos de calcular. Un algoritmo 
resistente a este análisis debería presentar una distribución aparentemente aleatória 
para un conjunto de diferenciales lo suficientemente grande. Si, por el contrario, hay 
patrones que aparezcan con una frecuencia significativamente mayor que otros, este 
sesgo podrá explotarse para ganar conocimiento sobre la clave de cifrado k empleada. 

Este ataque puede emplearse tanto si se conocen los detalles dei algoritmo de 
cifrado en cuestión como si se carece de ellos. En el primer caso, el análisis puede ser 
más preciso, ya que puede estudiarse cómo se propagan las diferencias a lo largo de 
las distintas fases dei mismo. 


10.7.2. Criptoanálisis Lineal 

El criptoanálisis lineal, descubierto por Mitsuru Matsui en 1992, basa su funcio- 
namiento en tomar algunos bits dei texto claro y efectuar una operación XOR entre 
ellos, tomar algunos dei texto cifrado y hacerles lo mismo, y finalmente hacer un XOR 
de los dos resultados anteriores, obteniendo un único bit. Efectuando esa operación a 
una gran cantidad de pares de texto claro y criptograma diferentes (M, E k (M)), el re¬ 
sultado debería tener una apariencia aleatória, por lo que la probabilidad de obtener 
un 1 o un 0 debería estar próxima a 1/2. 

Si el algoritmo criptográfico en cuestión es vulnerable a este tipo de ataque, exis- 
tirán combinaciones de bits que, bien escogidas, den lugar a un sesgo significativo en 
la medida anteriormente definida, es decir, que el número de ceros (o unos) es apre- 
ciablemente superior. Esta propiedad nos va a permitir poder asignar mayor proba¬ 
bilidad a unas claves sobre otras y de esta forma descubrir la clave que buscamos. 


10.7.3. Criptoanálisis Imposible 

Propuesta por Eli Biham en 1998, esta estratégia de criptoanálisis permitió atacar 
con êxito una versión dei algoritmo Skipjack, reducida a 31 rondas de las 32 origina- 
les. Se basa en buscar diferenciales (ver sección 10.7.1) que, para una clave k dada, 
nunca puedan darse, o lo que es lo mismo, que resulten imposibles. De esta mane- 
ra, si desciframos un par de mensajes empleando una clave tentativa k t y obtenemos 
uno de esos diferenciales, podremos afirmar que k t no es la clave que buscamos. 
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Aplicando esta técnica a modo de criba, podemos reducir considerablemente la in- 
certidumbre sobre la clave buscada, lo cual puede reducir el esfuerzo computacional 
necesario hasta mejorar a la fuerza bruta. 
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Capítulo 11 

Cifrados de Flujo 


En 1917, J. Mauborgne y G. Vernam inventaron un criptosistema perfecto según 
el critério de Shannon (ver sección 3.8). Dicho sistema consistia en emplear una se- 
cuencia aleatória de igual longitud que el mensaje, que se usaria una única vez —lo 
que se conoce en inglês como one-time pad —> combinándola mediante alguna función 
simple y reversible —usualmente el or exclusivo — con el texto en claro carácter a ca¬ 
rácter. Este método presenta el grave inconveniente de que la clave es tan larga como 
el propio mensaje, y si disponemos de un canal seguro para enviar la clave, ^por qué 
no emplearlo para transmitir el mensaje directamente? 

Evidentemente, un sistema de Vernam carece de utilidad práctica en la mayoría 
de los casos, pero supongamos que disponemos de un generador pseudoaleatorio 
capaz de generar secuencias criptográficamente aleatórias, de forma que la longitud de 
los posibles ciclos sea extremadamente grande. En tal caso podríamos, empleando la 
semilla dei generador como clave, obtener cadenas de bits de usar y tirar, y emplearlas 
para cifrar mensajes simplemente aplicando la función xor entre el texto en claro y la 
secuencia generada. Todo aquel que conozca la semilla podrá reconstruir la secuencia 
pseudoaleatoria y de esta forma descifrar el mensaje. 

En este capítulo analizaremos algunos criptosistemas de clave privada que ex- 
plotan esta idea. Dichos algoritmos no son más que la especificación de un genera¬ 
dor pseudoaleatorio, y permiten cifrar mensajes de longitud arbitraria, combinando 
el mensaje con la secuencia mediante la operación or exclusivo byte a byte, en lugar 
de dividirlos en bloques para codificarlos por separado. Como cabría esperar, estos 
criptosistemas no proporcionan seguridad perfecta, ya que mientras en el cifrado de 
Vernam el número de posibles claves es tan grande como el de posibles mensajes, 
cuando empleamos un generador tenemos como mucho tantas secuencias distintas 
como posibles valores iniciales de la semilla. 
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11.1. Secuencias Pseudoaleatorias 

Como veiamos en el capítulo 8 , los generadores criptográficamente aleatórios tienen 
la propiedad de que, a partir de una porción de la secuencia arbitrariamente gran¬ 
de, resulta computacionalmente intratable el problema de predecir el siguiente bit de 
la secuencia. Adicionalmente, dijimos que podrían no ser buenos como generadores 
aleatórios debido a que el conocimiento de la semilla nos permite regenerar la se¬ 
cuencia por completo. Evidentemente, en el caso que nos ocupa, esta característica 
se convertirá en una ventaja, ya que es precisamente lo que necesitamos: que por un 
lado no pueda calcularse la secuencia completa a partir de una porción de ésta, y que 
a la vez pueda reconstruirse completamente conociendo una pieza de información 
como la semilla dei generador. 


11.2. Tipos de Generadores de Secuencia 

Los generadores que se emplean como cifrado de flujo pueden dividirse en dos 
grandes grupos, dependiendo de que se empleen o no fragmentos anteriores dei 
mensaje cifrado a la hora de calcular los valores de la secuencia. Comentaremos bre¬ 
vemente en esta sección sus características básicas. 


11.2.1. Generadores Síncronos 

Un generador síncrono es aquel en el que la secuencia es calculada de forma inde- 
pendiente tanto dei texto en claro como dei texto cifrado. En el caso general, ilustrado 
en la figura 11 . 1 . a, viene dado por las siguientes ecuaciones: 


Sj+i g{si, k) 

Oi = h(si,k ) ( 11 . 1 ) 

<k = w(rrii, Oi) 

Donde k es la clave, s, es el estado interno dei generador, s 0 es el estado inicial, o* 
es la salida en el instante i, rrii y c, son la i-ésima porción dei texto claro y cifrado 
respectivamente, y w es una función reversible, usualmente or exclusivo. En muchos 
casos, la función h depende únicamente de s u siendo k = s 0 . 

Cuando empleamos un generador de estas características, necesitamos que tanto 
el emisor como el receptor estén sincronizados para que el texto pueda descifrarse. 
Si durante la transmisión se pierde o inserta algún bit, ya no se estará aplicando 
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en el receptor un xor con la misma secuencia, por lo que el resto dei mensaje será 
imposible de descifrar. Esto nos obliga a emplear tanto técnicas de verificación como 
de restablecimiento de la sincronia. 

Otro problema muy común con este tipo de técnicas es que si algún bit dei cripto- 
grama es alterado, la sincronización no se pierde, pero el texto claro se verá modifica¬ 
do en la misma posición. Esta característica podría permitir a un atacante introducir 
câmbios en nuestros mensajes, simplemente conociendo qué bits debe alterar. Para 
evitar esto, deben emplearse mecanismos de verificación que garanticen la integri- 
dad dei mensaje recibido, como las funciones resumen (ver capítulo 13). 

Existe también una debilidad intrínseca a los métodos de cifrado de flujo basados 
en generadores síncronos que vale la pena destacar: si un atacante conoce parte dei 
texto claro, podrá sustituirlo por otro sin que lo advierta el legítimo destinatário. 
Supongamos que m, es una porción dei mensaje original conocida por el atacante, y 
c, el trozo de mensaje cifrado correspondiente a él. Sabemos que 


Ci = w(rrii, Oi) 


siendo o, el trozo de secuencia pseudoaleatoria que fue combinado con el texto en 
claro. Puesto que w es una función reversible, podemos recuperar los o* asociados al 
fragmento conocido m,. Calculamos entonces: 



c„ 


siendo m) un mensaje falso de nuestra elección. Seguidamente sustituimos los c, ori- 
ginales por los c' que acabamos de obtener. Cuando el destinatário descifre el mensaje 
alterado, obtendrá la porción de mensaje m', en lugar dei original, de forma total¬ 
mente inadvertida. Esta circunstancia aconseja emplear estos métodos de cifrado en 
combinación con técnicas que garanticen la integridad dei mensaje (ver capítulo 13). 

11.2.2. Generadores Asíncronos 

Un generador de secuencia asíncrono o auto-sincronizado es aquel en el que la se¬ 
cuencia generada es función de una semilla, más una cantidad fija de los bits anterio¬ 
res dei mensaje cifrado, como puede verse en la figura ll.l.b. Formalmente: 


Oi h(k, Ci—t , • • •, Ci— i) 

Ci = w(oi,rrii) 


( 11 . 2 ) 
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A B 


Figura 11.1: Esquema de generadores de secuencia: A: generador síncrono. B: gene- 
rador asíncrono. 


Donde k es la clave, m, y c, son la i-ésima porción dei texto claro y cifrado respecti¬ 
vamente y w es una función reversible. Los valores c_ í; c_ í+ 1 ,..., c_i constituyen el 
estado inicial dei generador. 

Esta familia de generadores es resistente a la pérdida o inserción de información, 
ya que acaba por volver a sincronizarse automáticamente, en cuanto llegan t bloques 
correctos de forma consecutiva. También será sensible a la alteración de un mensaje, 
ya que si se modifica la unidad de información q, el receptor tendrá valores erróneos 
de entrada en su función h hasta que se alcance el bloque c l+t , momento a partir dei 
cual la transmisión habrá recuperado la sincronización. En cualquier caso, al igual 
que con los generadores síncronos, habrá que introducir mecanismos de verificación. 

Una propiedad interesante de estos generadores es la dispersión de las propieda- 
des estadísticas dei texto claro a lo largo de todo el mensaje cifrado, ya que cada dígito 
dei mensaje influye en todo el criptograma. Esto hace que los generadores asíncronos 
se consideren en general más resistentes frente a ataques basados en la redundância 
dei texto en claro. 


11.3. Registros de Desplazamiento Retroalimentados 


Los registros de desplazamiento retroalimentados (feedback shift registers, o FSR 
en inglês) son la base de muchos generadores de secuencia síncronos para cifrados 
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de flujo. Dedicaremos esta sección a analizar su estmctura básica y algunas de sus 
propiedades. 


11.3.1. Registros de Desplazamiento Retroalimentados Lineales 

Estos registros, debido a que permiten generar secuencias con períodos muy gran¬ 
des y con buenas propiedades estadísticas, además de su bien conocida estmctura al- 
gebraica y su facilidad para ser implementados por hardware, se encuentran presentes 
en muchos de los generadores de secuencia propuestos en la literatura. 

Un registro de desplazamiento retroalimentado lineal C es un conjunto de L estados, 
{5o, Si ,..., Sl-i}, capaces de almacenar un bit cada uno (fig 11.2. a). Esta estmctura 
viene controlada por un reloj que coordina los flujos de información entre los estados. 
Durante cada unidad de tiempo se efectúan las siguientes operaciones: 

1. El contenido de S 0 es la salida dei registro. 

2. El contenido de S\ es desplazado al estado Si- i, para 1 < i < L — 1. 

3. El contenido de Sl -i se calcula como la suma módulo 2 de los valores de un 
subconjunto prefijado de C. 

Un generador de estas características devolverá, en función de los valores iniciales 
de los estados, y dei subconjunto concreto de C empleado en el paso 3, una secuencia 
de salidas de carácter periódico —en algunos casos, la secuencia será periódica si 
ignoramos una cierta cantidad de bits al principio—. 


11.3.2. Registros de Desplazamiento Retroalimentados No Lineales 

Un registro de desplazamiento retroalimentado general (o no lineal) C es un conjunto 
de L estados, {5 0 , Si, ..., Sl- i }, capaces de almacenar un bit cada uno (fig 11.2.b). 
Durante cada unidad de tiempo se efectúan las siguientes operaciones: 

1. El contenido de S 0 es la salida dei registro. 

2. El contenido de S, es desplazado al estado Si- 1 , para 1 < i < L — 1. 

3. El contenido de Sl-i se calcula como una función booleana 

f(S j - ll S j - 2 ,...,S j - L ), 

donde Sj-i es el contenido dei registro S L -i en el estado anterior. 
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Figura 11.2: Registros de Desplazamiento Retroalimentados: A: Registro lineal, en 
el que cerrando el circuito en los puntos r 0 a tl-i se puede seleccionar qué estados 
se emplearán para calcular el nuevo valor de Sl- i- B: Registro no lineal, donde se 
emplea una función / genérica. 


Obsérvese que si sustituimos la función / en un registro de esta naturaleza por la 
suma módulo 2 de un subconjunto de £, obtenemos un registro de desplazamiento 
lineal. 


11.3.3. Combinación de Registros de Desplazamiento 

En la mayoría de los casos, los registros de desplazamiento retroalimentados no 
lineales presentan unas mejores condiciones como generadores de secuencia que los 
generadores de tipo lineal. Sin embargo, la extrema facilidad de implementación por 
hardware de estos últimos ha llevado a los disenadores a estudiar diferentes combina- 
ciones de registros lineales, de tal forma que se puedan obtener secuencias mejores. 

En general, se emplearían n generadores lineales y una función / no lineal para 
combinar sus salidas, de tal forma que cada bit de la secuencia se obtendría mediante 
la expresión 


/ (Rl, R2, ■ ■ ■ , Rn) 


siendo Ri la salida dei i-ésimo registro de desplazamiento lineal. 


(11.3) 
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Figura 11.3: Esquema dei modo de operación OFB, para emplear algoritmos de cifra¬ 
do por bloques como generadores de secuencia síncronos para cifrados de flujo. 


11.4. Otros Generadores de Secuencia 


Si bien los registros de desplazamiento son muy interesantes para generar secuen- 
cias mediante hardware, en realidad no son especialmente fáciles de implementar, ni 
eficientes, si se usan por software. Esto ha llevado a la comunidad a proponer algorit¬ 
mos de generación de secuencia especialmente pensados para ser incorporados por 
software. Nosotros vamos a comentar dos de ellos: RC4 y SEAL. 


11.4.1. Cifrados por Bloques en Modo OFB 

Existe un modo de operación (ver sección 10.6) sobre algoritmos de cifrado por 
bloques que puede usarse como generador síncrono, ya que genera, de forma to¬ 
talmente independiente dei mensaje, una secuencia pseudoaleatoria basada en una 
clave. En la figura 11.3 podemos ver cómo a partir de una clave K, y de un vector de 
inicialización (V.I.), estos algoritmos nos permiten generar una secuencia o, de blo¬ 
ques perfectamente válida para ser empleada dentro de un esquema de cifrado de 
flujo síncrono. 


11.4.2. Algoritmo RC4 

El algoritmo RC4 fue disenado por Ron Rivest en 1987 para la companía RSA Data 
Security. Su implementación es extremadamente sencilla y rápida, y está orientado a 
generar secuencias en unidades de un byte, además de permitir claves de diferentes 
longitudes. Por desgracia es un algoritmo propietario, lo cual implica que no puede 
ser incluido en aplicaciones de tipo comercial sin pagar los royalties correspondientes. 

El código dei algoritmo no se ha publicado nunca oficialmente, pero en 1994 al- 
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guien difundió en los grupos de noticias de Internet una descripción que, como poste¬ 
riormente se ha comprobado, genera las mismas secuencias. Dicha descripción consta 
de una S-Caja de 8 * 8 , que almacenará una permutación dei conjunto {0,..., 255}. Dos 
contadores i y j se ponen a cero. Luego, cada byte O r de la secuencia se calcula como 
sigue: 

1. % — (i + 1) mód 256 

2. j = (j + Si) mód 256 

3. Intercambiar los valores de Si y Sj 

4. t — (Si + Sj) mód 256 

5. O r = S t 

Para calcular los valores iniciales de la S-Caja, se hace lo siguiente: 

1. Si = i VO < i < 255 

2. Rellenar el array K 0 a A '255 repitiendo la clave tantas veces 
como sea necesario. 

3- j = 0 

4. Para i — 0 hasta 255 hacer: 

j = ( j + Si + Ki ) mód 256 
Intercambiar ,5' t y S r 

El algoritmo RC4 genera secuencias en las que los ciclos son bastante grandes, y 
es inmune a los criptoanálisis diferencial y lineal, si bien algunos estúdios indican 
que puede poseer claves débiles, y que es sensible a estúdios analíticos dei contenido 
de la S-Caja. De hecho, algunos afirman que en una de cada 256 claves posibles, los 
bytes que se generan tienen una fuerte correlación con un subconjunto de los bytes 
de la clave, lo cual es un comportamiento muy poco recomendable. 

A pesar de las dudas que existen en la actualidad sobre su seguridad, es un algo¬ 
ritmo ampliamente utilizado en muchas aplicaciones de tipo comercial. 


11.4.3. Algoritmo SEAL 

SEAL es un generador de secuencia disenado en 1993 para IBM por Phil Rogaway 
y Don Coppersmith, cuya estructura está especialmente pensada para funcionar de 
manera eficiente en computadores con una longitud de palabra de 32 bits. Su fun- 
cionamiento se basa en un proceso inicial en el que se calculan los valores para unas 
tablas a partir de la clave, de forma que el cifrado propiamente dicho puede llevarse a 
cabo de una manera realmente rápida. Por desgracia, también es un algoritmo sujeto 
a patentes. 

Una característica muy útil de este algoritmo es que no se basa en un sistema 
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lineal de generación, sino que define una família de funciones pseudoaleatorias, de tal 
forma que se puede calcular cualquier porción de la secuencia suministrando única¬ 
mente un número entero n de 32 bits. La idea es que, dado ese número, junto con la 
clave k de 160 bits, el algoritmo genera un bloque k(n) de L bits de longitud. De esa 
forma, cada valor de k da lugar a una secuencia total de L • 2 32 bits, compuesta por la 
yuxtaposición de los bloques k( 0 ), k( 1 ),..., k(2 32 — 1). 

SEAL se basa en el empleo dei algoritmo SHA (ver sección 13.5) para generar las 
tablas que usa internamente. De hecho, existen dos versiones dei algoritmo, la 1.0 y 
la 2.0, que se diferencian precisamente en que la primera emplea SHA y la segunda 
su versión revisada, SHA-1. 
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Capítulo 12 

Cifrados Asimétricos 


Los algoritmos asimétricos o de clave pública han demostrado su interés para ser 
empleados en redes de comunicación inseguras (Internet). Introducidos por Whit- 
field Diffie y Martin Hellman a mediados de los anos 70, su novedad fundamental 
con respecto a la criptografia simétrica es que las claves no son únicas, sino que 
forman pares. Hasta la fecha han aparecido multitud de algoritmos asimétricos, la 
mayoría de los cuales son inseguros; otros son poco prácticos, bien sea porque el 
criptograma es considerablemente mayor que el mensaje original, bien sea porque 
la longitud de la clave es enorme. Se basan en general en plantear al atacante pro¬ 
blemas matemáticos difíciles de resolver (ver capítulo 5). En la práctica muy pocos 
algoritmos son realmente útiles. El más popular por su sencillez es RS A, que ha so¬ 
brevivido a multitud de ataques, si bien necesita una longitud de clave considerable. 
Otros algoritmos son los de ElGamal y Rabin. 

Los algoritmos asimétricos emplean generalmente longitudes de clave mucho ma- 
yores que los simétricos. Por ejemplo, mientras que para algoritmos simétricos se 
considera segura una clave de 128 bits, para algoritmos asimétricos —si exceptua- 
mos aquellos basados en curvas elípticas— se recomiendan claves de al menos 2048 
bits. Además, la complejidad de cálculo que comportan estos últimos los hace consi¬ 
derablemente más lentos que los algoritmos de cifrado simétricos. En la práctica los 
métodos asimétricos se emplean únicamente para codificar la clave de sesión (simétri¬ 
ca) de cada mensaje o transacción particular. 
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12.1. Aplicaciones de los Algoritmos Asimétricos 

Los algoritmos asimétricos poseen dos claves diferentes en lugar de una, K p y 
Kp, denominadas clave privada y clave pública respectivamente. Una de ellas se em- 
plea para codificar, mientras que la otra se usa para decodificar. Dependiendo de la 
aplicación que le demos al algoritmo, la clave pública será la de cifrado o viceversa. 
Para que estos criptosistemas sean seguros también ha de cumplirse que a partir de 
una de las claves resulte extremadamente difícil calcular la otra. 


12.1.1. Protección de la Información 

Una de las aplicaciones inmediatas de los algoritmos asimétricos es el cifrado de 
la información sin tener que transmitir la clave de decodificación, lo cual permite su 
uso en canales inseguros. Supongamos que A quiere enviar un mensaje a B (figura 
12.1). Para ello solicita a B su clave pública Kp. A genera entonces el mensaje cifra¬ 
do E Kp (m). Una vez hecho esto únicamente quien posea la clave K p —en nuestro 
ejemplo, B — podrá recuperar el mensaje original m. 

Nótese que para este tipo de aplicación, la clave que se hace pública es aquella que 
permite codificar los mensajes, mientras que la clave privada es aquella que permite 
descifrarlos. 


12.1.2. Autentificación 

La segunda aplicación de los algoritmos asimétricos es la autentificación de men¬ 
sajes, con ayuda de funciones MDC (ver capítulo 13), que nos permiten obtener una 
signatura o resumen a partir de un mensaje. Dicha signatura es mucho más peque¬ 
na que el mensaje original, y es muy difícil encontrar otro mensaje diferente que dé 
lugar al mismo resumen. Supongamos que A recibe un mensaje mdeüy quiere com- 
probar su autenticidad. Para ello B genera un resumen dei mensaje r(m) (ver figura 
12.2) y lo codifica empleando la clave de cifrado, que en este caso será privada. La 
clave de descifrado se habrá hecho pública previamente, y debe estar en poder de A. 
B envia entonces a A el criptograma correspondiente a r(m). A puede ahora generar 
su propia r'(m ) y compararia con el valor r(m) obtenido dei criptograma enviado por 
B. Si coinciden, el mensaje será autêntico, puesto que el único que posee la clave para 
codificar es precisamente B. 

Nótese que en este caso la clave que se emplea para cifrar es la clave privada, justo 
al revés que para la simple codificación de mensajes. 
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A 




K P 




Cifrado 

Asimétrico 


E Kp (m) 


Descifrado 

Asimétrico 



\ 



\ 

Mensaje 


Mensaje 

Original 


Descifrado 


Figura 12.1: Transmisión de información empleando algoritmos asimétricos. 1. B en¬ 
via a A su clave pública, K P ; 2. A codifica el mensaje y envia a B el criptograma 
E Kp (rn); 3. B decodifica el criptograma empleando la clave privada K p . 
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A 





K P 



E k (r(m)) 

B 


Cifrado 

Asimétrico 


r(m) 

< -r MDC 


Mensaje 


Figura 12.2: Autentificación de información empleando algoritmos asimétricos. 1. A, 
que posee la clave pública K P de B, recibe un mensaje y quiere autentificarlo; 2. B 
genera el resumen r(m ) envia a A el criptograma asociado E Pp (r(m)); 3. A genera 
por su cuenta r'(m ) y decodifica el criptograma recibido usando la clave K P ; 4. A 
compara r(m) y r'(m ) para comprobar la autenticidad dei mensaje m. 


En muchos algoritmos asimétricos ambas claves sirven tanto para cifrar como 
para descifrar, de manera que si empleamos una para codificar, la otra permitirá de¬ 
codificar y viceversa. Esto ocurre con el algoritmo RSA, en el que un único par de 
claves es suficiente tanto para cifrar información como para autentificarla. 


12.2. Ataques de Intermediário 


El ataque de intermediário (figura 12.3) puede darse con cualquier algoritmo asi¬ 
métrico, dando lugar a un grave peligro dei que hay que ser consciente, y tratar de 
evitar a toda costa. Supongamos que A quiere establecer una comunicación con B, y 
que C quiere espiaria. Cuando A le solicite a B su clave pública K B , C se interpone, 
obteniendo la clave de B y enviando a A una clave falsa K c creada por él. A partir 
de ese momento puede pasar lo siguiente: 
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Figura 12.3: Ataque de intermediário para un algoritmo asimétrico. 


■ Cualquier documento firmado digitalmente por C será interpretado por A co¬ 
mo procedente de B. 


■ Si A cifra un mensaje para B, en realidad estará generando un mensaje cifrado 
para C, que podrá interceptado, descifrarlo con su propia clave privada, volver- 
lo a cifrar con la clave Kb correcta, y reenviárselo a B. De esta forma C tendrá 
acceso a toda la información cifrada que viaje de A hasta B sin que ninguna de 
sus víctimas advierta el engano. 


La única manera de evitar esto consiste en buscar mecanismos para poder garan- 
tizar que la clave pública que recibe A pertenece realmente a B. Para ello la solución 
más obvia consiste en que Kb esté firmada digitalmente por un amigo común, que 
certifique la autenticidad de la clave. Si A y B carecen de amigos comunes, pueden 
recurrir a los llamados anillos de confianza, que permiten certificar la autenticidad de 
las claves a través de redes sociales, en las que cada usuário está relacionado con unos 
cuantos y decide en quiénes confia, sin necesidad de centralizar el proceso. Por eso 
se nos suele recomendar, cuando instalamos paquetes de cifrado asimétrico, como 
PGP (capítulo 18), que firmemos todas las claves sobre las que tengamos certeza de 
su autenticidad, y únicamente esas. 
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12.3. El Algoritmo RSA 

De entre todos los algoritmos asimétricos, quizá RSA sea el más sencillo de com- 
prender e implementar. Como ya se ha dicho, sus claves sirven indistintamente tanto 
para codificar como para autentificar. Debe su nombre a sus tres inventores: Ronald 
Rivest, Adi Shamir y Leonard Adleman, y estuvo bajo patente de los Laboratorios 
RSA hasta el 20 de septiembre de 2000, por lo que su uso comercial estuvo restrin¬ 
gido hasta esa fecha. De hecho, las primeras versiones de PGP (ver capítulo 18) lo 
incorporaban como método de cifrado y firma digital, pero se desaconsejó su uso a 
partir de la versión 5 en favor de otros algoritmos, que por entonces sí eran libres. 
Sujeto a múltiples controvérsias, desde su nacimiento nadie ha conseguido probar 
o rebatir su seguridad, pero se le tiene como uno de los algoritmos asimétricos más 
seguros. 

RSA se basa en la dificultad para factorizar grandes números. Las claves pública 
y privada se calculan a partir de un número que se obtiene como producto de dos 
primos grandes. El atacante se enfrentará, si quiere recuperar un texto claro a partir 
dei criptograma y la clave pública, a un problema de factorización (ver sección 5.6) o 
tendrá que resolver un logaritmo discreto (ver sección 5.4.2). 

Para generar un par de claves ( K P , K p ), en primer lugar se eligen aleatoriamente 
dos números primos grandes, p y q. Después se calcula el producto n = pq. 

Escogeremos ahora un número e primo relativo con {p — 1 )(q — 1). (e,n) será la 
clave pública. Nótese que e debe tener inversa módulo (p — 1 )(q — 1), por lo que 
existirá un número d tal que 

de = 1 (mód (p — 1 )(q — 1)) 

es decir, que d es la inversa de e módulo (p— l)(ç — 1). ( d , n) será la clave privada. Esta 
inversa puede calcularse fácilmente empleando el Algoritmo Extendido de Euclides. 
Nótese que si desconocemos los factores de n, este cálculo resulta prácticamente im- 
posible. 

La operación de cifrado se lleva a cabo según la expresión: 


c = m e (mód n) (12.1) 

mientras que el descifrado se hará de la siguiente forma: 

m = c d (mód n) (12.2) 
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ya que 



ed = m fc (p- 1 )(9- 1 )+ 1 = ( m fe)(í>- 1) (9- 1) m 


Recordemos que 0(n) = (p — l)(q — 1), por lo que, según la ecuación (5.3), 

= 1; 

lo cual nos lleva de nuevo a m, siempre y cuando m y n sean primos relativos. 

Ya que en nuestro caso n es compuesto, puede ocurrir que no sea primo relati¬ 
vo con m. Para ver lo que ocurre, podemos llevar a cabo el siguiente razonamiento: 
buscamos un número a tal que 


1 (mód n) 


a _ 


m 


Tiene que cumplirse que m a = 1 (mód p) y rn a = 1 (mód q), ya que py q dividen a 
n. Aplicando el Teorema de Fermat (expresión 5.4), tenemos que a debe ser múltiplo 
de (p — 1) y de (q — 1), por lo que a = mcm(p — 1 ,q — 1). Ya que el mínimo común 
múltiplo de (p — 1) y (q — 1) divide a (p — 1) (q — 1), el razonamiento dado inicialmente 
para demostrar el buen funcionamiento dei algoritmo sigue siendo válido. Por esta 
razón, en muchos lugares se propone obtener d de forma que: 


de = 1 (mód mcm(p — 1, q — 1)) 


con lo que obtendremos valores más pequenos, y por lo tanto más manejables, para 
la clave de descifrado. 

En muchos casos, se suele utilizar el Teorema Chino dei Resto (sección 5.3) para 
facilitar los cálculos a la hora de descifrar un mensaje. Para ello se incluyen py q en la 
clave privada, se calcula pi = p^ 1 (mód q), y cuando se desea descifrar un mensaje 
c, se plantea el siguiente sistema de congruências: 


[c mód pf 
[c mód qf 


rrii (mód p) 
777,2 (mód q) 


Como ya se vio, estas ecuaciones tienen una solución única m módulo n. Para recupe¬ 
rar el mensaje original m, en lugar de usar la fórmula que dimos en la demostración 
dei teorema, emplearemos otra ligeramente distinta: 


?77 = ?77! + p[(777 2 — rrii)pi (mód q)] 
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Es inmediato comprobar que esta expresión es igual a m\ módulo p. Si por el con¬ 
trario tomamos módulo q, vemos que el segundo sumando es igual a 777.2 — m\, por 
lo que nos quedará m 2 . Con ello conseguimos que el módulo a la hora de hacer las 
exponenciaciones sea sensiblemente menor, y, en consecuencia, los cálculos más rá¬ 
pidos. Nótese que los valores [d mód (p — 1)], [d mód (q — 1)] y p\ pueden tenerse 
calculados de antemano —y, de hecho, se suelen incluir en la clave privada—. 

En la práctica, cuando queramos generar un par de claves RSA, escogeremos p y 
q con un número grande de bits, por ejemplo 512, con lo que n tendrá 1024 bits. A la 
hora de cifrar, subdividiremos el mensaje en bloques de, por ejemplo, 1016 bits —de 
esta forma queda garantizado que el valor de cada bloque sea menor que n — y efec- 
tuaremos la codificación de cada uno. Obtendremos un mensaje cifrado ligeramente 
más grande que el original, puesto que cada bloque tendrá ahora 1024 bits. Para de¬ 
codificar, partiremos el mensaje cifrado en trozos de 1024 bits, y nos quedaremos con 
los primeros 1016 de cada uno tras aplicar el algoritmo. 

El atacante, si quiere recuperar la clave privada a partir de la pública, debe conocer 
los factores p y q de n, y esto representa un problema computacionalmente intratable, 
siempre que p y q —y, por lo tanto, n — sean lo suficientemente grandes. 


12.3.1. Seguridad dei Algoritmo RSA 

Técnicamente no es dei todo cierto que el algoritmo RSA deposite su fuerza en 
el problema de la factorización. En realidad el hecho de tener que factorizar un nú¬ 
mero para descifrar un mensaje sin la clave privada es una mera conjetura. Nadie ha 
demostrado que no pueda surgir un método en el futuro que permita descifrar un 
mensaje sin usar la clave privada y sin factorizar el módulo n. De todas formas, este 
método podría ser empleado como una nueva técnica para factorizar números en- 
teros, por lo que la anterior afirmación se considera en la práctica cierta. De hecho, 
existen estúdios que demuestran que incluso recuperar sólo algunos bits dei mensaje 
original resulta tan difícil como descifrar el mensaje entero. 

Aparte de factorizar n, podríamos intentar calcular o(n) directamente, o probar 
por la fuerza bruta tratando de encontrar la clave privada. Ambos ataques son más 
costosos computacionalmente que la propia factorización de n, afortunadamente. 

Otro punto que cabría preguntarse es qué pasaría si los primos p y q que esco- 
gemos realmente fueran compuestos. Recordemos que los algoritmos de prueba de 
primos que conocemos son probabilísticos, por lo que jamás tendremos la absoluta 
seguridad de que p y q son realmente primos. Pero obsérvese que si aplicamos, por 
ejemplo, treinta pasadas dei algoritmo de Rabin-Miller (sección 5.7), las probabilida¬ 
des de que el número escogido pase el test y siga siendo primo son de una contra 
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2 60 : resulta más fácil que nos toque la primitiva y que simultáneamente nos parta 
un rayo (cuadro 1.1). Por otra parte, si p o q fueran compuestos, el algoritmo RSA 
simplemente no funcionaria correctamente. 


12.3.2. Vulnerabilidades de RSA 

Aunque el algoritmo RSA es bastante seguro conceptualmente, existen algunos 
puntos débiles en la forma de utilizarlo que pueden ser aprovechados por un atacan¬ 
te. En esta sección comentaremos estas posibles vulnerabilidades, así como la forma 
de evitar que surjan. 


Claves Débiles en RSA 

Se puede demostrar matemáticamente que existen ciertos casos para los cuales el 
algoritmo RSA deja el mensaje original tal cual, es decir 


m e = m (mód n ) (12.3) 

En realidad, siempre hay mensajes que quedan inalterados al ser codificados me¬ 
diante RSA, sea cual sea el valor de n. Nuestro objetivo será reducir al mínimo el 
número de éstos. Se puede comprobar que, siendo n = pq y e el exponente para codi¬ 
ficar. 


a n = [1 + mcd(e — l, p — 1)] • [1 + mcd(e — 1, q — 1 )] 

es el número de valores de m que quedan igual al ser codificados. Si hacemos que 
p = 1 + 2p' y q = 1 + 2 q', con p' y q' primos, entonces mcd(e — l,p — 1) puede valer 
1,2 ó p 1 —análogamente ocurre con q' —. Los valores posibles de a n serán entonces 
4, 6, 9, 2(p' + 1), 2(q' + 1), 3 {p' + 1), 3 (p' + 1), y (p' + 1)(</ + 1). Afortunadamente, los 
cinco últimos son extremadamente improbables, por lo que no deben preocupamos. 
No obstante, como medida de precaución, se puede calcular a n a la hora de generar 
las claves pública y privada. 


Claves Demasiado Cortas 

Actualmente se considera segura una clave RSA con una longitud de n de al me¬ 
nos 1024 bits, si bien se recomienda el uso de claves no inferiores a 2048 bits. Hasta 
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hace relativamente poco se recomendaban 512 bits, pero en mayo de 1999, Adi Sha- 
mir presentó el denominado dispositivo Tzvinkle, un ingenio capaz de factorizar nú¬ 
meros de manera muy rápida, aprovechando los últimos avances en la optimización 
de algoritmos específicos para esta tarea. Este dispositivo, aún no constmido, podría 
ser incorporado en ordenadores de bajo coste y pondría en serio peligro los mensajes 
cifrados con claves de 512 bits o menos. 

Teniendo en cuenta los avances de la tecnologia, y suponiendo que el algoritmo 
RSA no sea roto analiticamente, deberemos escoger la longitud de la clave en función 
dei tiempo que queramos que nuestra información permanezca en secreto. Efecti- 
vamente, una clave de 1024 bits parece a todas luces demasiado corta como para 
proteger información por más de unos pocos anos. 


Ataques de Texto Claro Escogido 

Existe una familia de ataques a RSA que explotan la posibilidad de que un usuário 
codifique y firme un único mensaje empleando el mismo par de claves. Para que 
el ataque surta efecto, la firma debe hacerse codificando el mensaje completo, no 
el resultado de una función MDC aplicada sobre él. Por ello se recomienda que las 
firmas digitales se lleven a cabo siempre sobre la signatura dei mensaje, nunca sobre 
el mensaje en si. 

Otro tipo de ataque con texto claro escogido podría ser el siguiente: para falsificar 
una firma sobre un mensaje m, se pueden calcular dos mensajes individuales m\ y 
m 2 , aparentemente inofensivos, tales que m \ m 2 = m, y enviárselos a la víctima pa¬ 
ra que los firme. Entonces obtendríamos un mf y m\. Aunque desconozcamos d, si 
calculamos 


m d m d = rn d (mód n) 

obtendremos el mensaje m firmado. 


Ataques de Módulo Común 

Podría pensarse que, una vez generados p y q, será más rápido generar tantos 
pares de claves como queramos, en lugar de tener que emplear dos números primos 
diferentes en cada caso. Sin embargo, si lo hacemos así, un atacante podrá decodificar 
nuestros mensajes sin necesidad de la clave privada. Sea m el texto claro, que codi¬ 
ficamos empleando dos claves de cifrado diferentes e\ y e 2 . Los criptogramas que 
obtenemos son los siguientes: 
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Cl 

c 2 



(mód n) 
(mód n) 


El atacante conoce pues n, ei, e 2/ c\ y c 2 . Si ei y e 2 son primos relativos, el Algorit¬ 
mo Extendido de Euclides nos permitirá encontrar r y s tales que 


rei + se 2 = 1 


Ahora podemos hacer el siguiente cálculo 


e2S = m eir+e2S = m l 


(mód n) 


c[c 2 = rn eir m' 


Recordemos que esto sólo se cumple si ei y e 2 son números primos relativos, pero 
precisamente eso es lo que suele ocurrir en la gran mayoría de los casos. Por lo tanto, 
se deben generar p y q diferentes para cada par de claves. 

Ataques de Exponente Bajo 

Si el exponente de cifrado e es demasiado bajo —hay implementaciones de RSA 
que, por razones de eficiência emplean valores pequenos, como e = 3— existe la 
posibilidad de que un atacante pueda romper el sistema. 

En primer lugar, puede que m e < n, es decir, que el número que representa el texto 
claro elevado al exponente de cifrado resulte inferior que el módulo. En ese caso, bas¬ 
taria con aplicar un logaritmo tradicional para recuperar el mensaje original a partir 
dei criptograma. Esto se soluciona rellenando los valores para m con bits aleatórios por 
la izquierda. Por ejemplo, si n es de 1024 bits, una estratégia razonable seria tomar 
bloques de 1016 bits (que es un número exacto de bytes) e incluirles siete bits alea¬ 
tórios por la izquierda. Siempre que los bits anadidos no sean todos cero, podemos 
garantizar que m < n y m e > n. Cuando decodifiquemos simplemente ignoraremos 
esos siete bits. 

Existe otro ataque basado en valores de e bajos. Si, por ejemplo, tenemos tres cla¬ 
ves públicas con el mismo valor e = 3 y diferentes módulos, n i, n 2 y n 3 , y alguien 
cifra un mismo mensaje m con las tres, tendremos tres valores c\, c 2 y c 3 . Como lo 
más probable es que los n; sean primos relativos, y se cumple que m 3 < ni?z 2 n 3 , po¬ 
demos aplicar el Teorema Chino dei Resto (sección 5.3) para encontrar un valor x tal 
que x = m 3 . Calculando la raiz cúbica de dicho valor, habremos recuperado el va¬ 
lor de m. Para protegerse de este ataque, basta con anadir al mensaje, cada vez que 
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se cifre, los bits aleatórios citados en el anterior párrafo. De esta forma reducimos la 
probabilidad de que se emplee exactamente el mismo valor de m en los tres casos. 

También existen ataques que se aprovechan de valores bajos en el exponente de 
descifrado d, por lo que se recomienda que d tenga aproximadamente el mismo nú¬ 
mero de bits que n. 


Firmar y Codificar 

Con el algoritmo RSA nunca se debe firmar un mensaje después de codificado, 
por el contrario, debe firmarse primero. Existen ataques que permiten manipular con 
êxito mensajes primero codificados y luego firmados, aunque se empleen funciones 
resumen. 


12.4. Otros Algoritmos Asimétricos 

12.4.1. Algoritmo de Diffie-Hellman 

Es un algoritmo asimétrico, basado en el problema de Diffie-Hellman (sección 
5.4.3), que se emplea fundamentalmente para acordar una clave común entre dos 
interlocutores, a través de un canal de comunicación inseguro. La ventaja de este 
sistema es que no son necesarias claves públicas en el sentido estricto, sino una infor- 
mación compartida por los dos comunicantes. 

Sean Ay B los interlocutores en cuestión. En primer lugar, se calcula un número 
primo p y un generador a de Z*, con 2 < a < p — 2. Esta información es pública y 
conocida por ambos. El algoritmo queda como sigue: 


1. A escoge un número aleatorio x, comprendido entre 1 y p 
valor 


a x (mód p) 


2 y envia a B el 


2. B escoge un número aleatorio y, análogamente al paso anterior, y envia a A el 
valor 


a y (mód p) 

3. B recoge a x y calcula K = ( a x ) y (mód p). 

4. A recoge a y y calcula K = (a y ) x (mód p). 
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Puesto que x e y no viajan por la red, al final Ay B acaban compartiendo el valor 
de K, sin que nadie que capture los mensajes transmitidos pueda repetir el cálculo. 


12.4.2. Algoritmo de ElGamal 

Fue disenado en un principio para producir firmas digitales, pero posteriormente 
se extendió también para codificar mensajes. Se basa en el problema de los logarit¬ 
mos discretos, que está íntimamente relacionado con el de la factorización, y en el de 
Diffie-Hellman. 

Para generar un par de claves, se escoge un número primo n y dos números alea¬ 
tórios p y x menores que n. Se calcula entonces 


y = p x (mód n) 


La clave pública es (p, y, n), mientras que la clave privada es x. 

Escogiendo n primo, garantizamos que sea cual sea el valor de p, el conjunto 
{p,p 2 ,p 3 ...} es una permutación dei conjunto (1, 2, • • •, n — 1}. Nótese que esto no 
es necesario para que el algoritmo funcione, por lo que podemos emplear realmen¬ 
te un n no primo, siempre que el conjunto generado por las potências de p sea lo 
suficientemente grande. 


Firmas Digitales de ElGamal 

Para firmar un mensaje m basta con escoger un número k aleatorio, que sea primo 
relativo con n — 1, y calcular 


a = p k (mód n) 
b = (m — xa)k^ (mód (n — 1)) 


(12.4) 


La firma la constituye el par (a, b). En cuanto al valor k, debe mantenerse en se¬ 
creto y ser diferente cada vez. La firma se verifica comprobando que 


y a a b = p m (mód n) 


(12.5) 
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Cifrado de ElGamal 

Para cifrar el mensaje m se escoge primero un número aleatorio k primo relativo 
con (n — 1), que también será mantenido en secreto. Calculamos entonces las siguien- 
tes expresiones 


a = p k (mód n) 
b = y k m (mód n) 


( 12 . 6 ) 


El par (a, b ) es el texto cifrado, de doble longitud que el texto original. Para decodificar 
se calcula 


m — b ■ a x (mód n) 


(12.7) 


12.4.3. Algoritmo de Rabin 

El sistema de clave asimétrica de Rabin se basa en el problema de calcular raíces 
cuadradas módulo un número compuesto. Este problema se ha demostrado que es 
equivalente al de la factorización de dicho número. 

En primer lugar escogemos dos números primos, p y q, ambos congruentes con 
3 módulo 4 (los dos últimos bits a 1). Estos primos son la clave privada. La clave 
pública es su producto, n = pq. 

Para codificar un mensaje m, simplemente se calcula 


c = m 2 (mód n) (12.8) 

La decodificación dei mensaje se hace calculando lo siguiente: 

mi = c (p+1)/4 (mód p) 
rri 2 = (p — c( p+ b/ 4 ) (mód p) 
rriz = c (9+1)/4 (mód q ) 
m 4 = (q — c^+b/ 4 ) (mód q) 

Luego se escogen ay b tales que a = q(q~ l (mód p)) y b — p{jp~ l (mód q)). Los 
cuatro posibles mensajes originales son 
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m a = 

(ami + brn^) 

(mód ri) 

m b = 

(ami + bm 4 ) 

(mód n) 

m c = 

( am 2 + bm 3 ) 

(mód n) 

m d = 

(flm 2 + bmi) 

(mód n) 


Desgraciadamente, no existe ningún mecanismo para decidir cuál de los cuatro es ei 
autêntico, por lo que el mensaje deberá incluir algún tipo de información para que el 
receptor pueda distinguido de los otros. 


12.4.4. Algoritmo DSA 

El algoritmo DSA ( Digital Signature Algorithm) es una parte el estándar de firma 
digital DSS ( Digital Signature Standard). Este algoritmo, propuesto por el NIST, data 
de 1991, es una variante dei método asimétrico de ElGamal. 

Creación dei par clave pública-clave privada 

El algoritmo de generación de claves es el siguiente: 

1. Seleccionar un número primo q tal que 2 159 < q < 2 160 . 

2. Escoger t tal que 0 < t < 8, y seleccionar un número primo p tal que 2 511+64í < 
p < 2 512+64t , y que además q sea divisor de (p — 1). 

3. Seleccionar un elemento g e Z* y calcular a = gó 3 - 1 )/? mód p. 

4. Si a = 1 volver al paso 3. 

5. Seleccionar un número entero aleatorio a, tal que 1 < a < q — 1 

6. Calcular y = a a mód p. 

7. La clave pública es (p, q, a, y). La clave privada es a. 

Generación y verificación de la firma 

Siendo h la salida de una función MDC sobre el mensaje m, la generación de una 
firma se hace mediante el siguiente algoritmo: 

1. Seleccionar un número aleatorio k tal que 0 < k < q. 
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2. Calcular r = ( a k mód p) mód q. 

3. Calcular k~ l mód q. 

4. Calcular s = k~ x {h + ar) mód q. 

5. La firma dei mensaje m es el par (r, s). 

El destinatário efectuará las siguientes operaciones, suponiendo que conoce la 
clave pública (p, q, a, y), para verificar la autenticidad de la firma: 

1. Verificar que 0<r<gy0<s<g. En caso contrario, rechazar la firma. 

2. Calcular el valor de h a partir de m. 

3. Calcular u = s -1 mód q. 

4. Calcular u\ — uj ■ h mód q y u 2 = u> ■ r mód q. 

5. Calcular v = ( a ui y u 2 mód p) mód q. 

6. Aceptar la firma si y sólo si v = r. 


12.5. Criptografia de Curva Elíptica 


Como vimos en la sección 6.4, para curvas elípticas existe un problema análogo 
al de los logaritmos discretos en grupos finitos de enteros. Esto nos va a permitir 
trasladar cualquier algoritmo criptográfico definido sobre enteros, y que se apoye en 
este problema, al âmbito de las curvas elípticas. La ventaja que se obtiene es que, con 
claves más pequenas, se alcanza un nivel de seguridad equiparable. 

Debido a la relación existente entre ambos, muchos algoritmos que se apoyan en 
el problema de la factorización pueden ser replanteados para descansar sobre los 
logaritmos discretos. De hecho, existen versiones de curva elíptica de muchos de los 
algoritmos asimétricos más populares. A modo de ejemplo, en esta sección veremos 
cómo se redefine el algoritmo de cifrado de ElGamal. 
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12.5.1. Cifrado de ElGamal sobre Curvas Elípticas 

Sea un grupo de curva elíptica, definido en GF(n ) ó GF(2 ”). Sea p un punto de 
la curva. Sea el conjunto (p), de cardinal n. Escogemos entonces un valor entero x 
comprendido entre 1 y n — 1 , y calculamos 


y = xp (12.10) 

La clave pública vendrá dada por (p, y, n), y la clave privada será x. 

El cifrado se hará escogiendo un número aleatorio k primo relativo con n. Segui¬ 
damente calculamos las expresiones 


a = kp 
b = m + ky 


( 12 . 11 ) 


siendo m el mensaje original representado como un punto de la curva. El criptograma 
será el par (a, b). Para descifrar, será suficiente con calcular 


m = — (xa) + b 


( 12 . 12 ) 


12.6. Ejercicios Resueltos 

1. Suponga un sistema RSA con los siguientes parâmetros: 

- N = 44173 

- K P = 25277 

. C = 8767,18584, 7557,4510,40818, 39760,4510, 39760, 6813, 7557,14747 

a) Factorizar el módulo N. 

b) Calcular la clave privada K p . 

c) Descifrar el mensaje C. 

Solución: 

a) Para factorizar N, basta con emplear el método de tanteo (prueba y error) a 
partir de la raiz cuadrada de 44173, obteniéndose que N = 271 • 163. 
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b) K p debe ser la inversa de Kp módulo (j>(N) = 270 ■ 162 = 43740. Empleando 
el Algoritmo Extendido de Euclides, llegamos a 

K p = Kp 1 = 25277“ 1 (mód 43740) = 26633 

c) El descifrado podemos llevarlo a cabo empleando el Algoritmo Rápido de 
Exponenciación: 


Co 

= 8767 

mo 

= 8767 Kp (mód 44173) = 75 

Cl 

= 18584 

mi 

= 18584 a ? (mód 44173) = 114 

C 2 

= 7557 

rn 2 

= 7557 a ? (mód 44173) = 105 

C 3 

= 4510 

mu 

= 4510 Ap (mód 44173) = 112 

C 4 

= 40818 

ITI 4 

= 40818 a ? (mód 44173) = 116 

c 5 

= 39760 

m 5 

= 39760 a ? (mód 44173) = 111 

c 6 

= 4510 

rriQ 

= 4510 a ? (mód 44173) = 112 

C7 

= 39760 

rrij 

= 39760 a ? (mód 44173) = 111 

c 8 

= 6813 

m 8 

= 6813 a ? (mód 44173) = 108 

Cg 

= 7557 

m 9 

= 7557 a ? (mód 44173) = 105 

Cio 

= 14747 

m w 

= 14747 a -? (mód 44173) = 115 
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Capítulo 13 

Funciones Resumen 


En el capítulo 12 vimos que la criptografia asimétrica permite autentificar infor- 
mación, es decir, poder asegurar que un mensaje m proviene de un emisor A y no de 
cualquier otro. Asimismo vimos que la autentificación debía hacerse empleando una 
función resumen y no codificando el mensaje completo. En esencia, una función resu¬ 
men (hash, en inglês), proporciona una secuencia de bits de pequena longitud, que va 
asociada al mensaje aunque contiene menos información que éste, y que debe resul¬ 
tar muy difícil de falsificar. Existen funciones resumen que emplean en sus cálculos 
una clave adicional —los denominados MAC (message authentication code ), que vere¬ 
mos en la sección 13.7 —, y otras que no la usan, denominadas genéricamente MDC 
(modification detection codes ). 


13.1. Propiedades 

Sabemos que un mensaje m puede ser autentificado codificando con la llave pri¬ 
vada K p el resultado de aplicarle una función resumen, E[{ v (r (rri)) . Esa información 
(que denominaremos firma dei mensaje m) sólo puede ser generada por el poseedor 
de la clave privada K p . Cualquiera que tenga la llave pública correspondiente esta¬ 
rá en condiciones de decodificar y verificar la firma. Para que sea segura, la función 
resumen r(x) debe cumplir además ciertas características: 


■ r(m) es de longitud fija, independientemente de la longitud de m. 

■ Dado m, es fácil calcular r(m). 

■ Dado r(m), es computacionalmente intratable recuperar m. 
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■ Dado m, es computacionalmente intratable obtener un m! tal que r(m) = r(m'). 


Estas propiedades son válidas tanto para los MDC como para los MAC, con la 
dificultad anadida para estos últimos de que el atacante deberá averiguar además la 
clave correspondiente. De hecho, conocida la clave, un MAC se comporta exactamen- 
te igual que un MDC. 


13.2. Longitud Adecuada para una Signatura 


Para decidir cuál debe ser la longitud apropiada de una signatura, veamos prime- 
ro el siguiente ejemplo: ^Cuál es la cantidad n de personas que hay que poner en una 
habitación para que la probabilidad P de que el cumpleanos de una de ellas sea el 
mismo día que el mío supere el 50 %? Sabemos que cuando n = 1, P = . Cuando 

n = 2, la probabilidad de que ningún cumpleanos coincida con el nuestro es el produc- 
to de la probabilidad de que no coincida el primero, por la probabilidad de que no 
coincida el segundo, luego: 


En el caso general. 


364 364 

365 ' 365 


P = 1 - 


/364 \ n 
V365y 


Para que P > 0,5, n debe ser al menos igual a 253. Sin embargo, <;cuál seria la canti¬ 
dad de gente necesaria para que la probabilidad Q de que dos personas cualesquie- 
ra tengan el mismo cumpleanos supere el 50 %? Las dos primeras personas (o sea, 
cuando n = 2) tienen una probabilidad ||| de no compartir el cumpleanos; una terce- 
ra, supuesto que las dos primeras no lo comparten, tiene una probabilidad ||| de no 
compartirlo con las otras dos, por lo que tenemos §§y§§§, y así sucesivamente. En el 
caso general nos queda 


Q 


364 • 363 ... (365 -n + 1) 
365 (n-1) 


con n > 2 


Si hacemos los cálculos, veremos que Q > 0,5 si n > 22, una cantidad sorprendente- 
mente mucho menor que 253. 
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La consecuencia de este ejemplo, conocido como la paradoja dei cumpleanos, es que 
aunque resulte muy difícil dado m calcular un m' tal que r(m) = r(m!), es conside- 
rablemente menos costoso generar muchos valores aleatoriamente, y posteriormente 
buscar entre ellos una pareja cualquiera (m, m'), tal que r(m) = r(m'). 

En el caso de una signatura de 64 bits, necesitaríamos 2 64 mensajes dado un m pa¬ 
ra obtener el m! , pero bastaria con generar aproximadamente 2 32 mensajes aleatórios 
para que aparecieran dos con la misma signatura —en general, si la primera cantidad 
es muy grande, la segunda cantidad es aproximadamente su raiz cuadrada—. El pri- 
mer ataque nos llevaría 600.000 anos con una computadora que generara un millón 
de mensajes por segundo, mientras que el segundo necesitaría apenas una hora. 

Elemos de anadir pues a nuestra lista de condiciones sobre las funciones resumen 
la siguiente: 

■ Debe ser difícil encontrar dos mensajes aleatórios, m y m!, tales que r(m) = 
r(m'). 

Hoy por hoy se recomienda emplear signaturas de al menos 128 bits, siendo 160 
bits el valor más usado. 


13.3. Estmctura de una Función MDC 

En general, los MDC se basan en la idea d e funciones de compresión, que dan como 
resultado bloques de longitud fija a a partir de bloques de longitud fija b, con a < b. 
Estas funciones se encadenan de forma iterativa, haciendo que la entrada en el paso 
i sea función dei i-ésimo bloque dei mensaje (rrii) y de la salida dei paso i — 1 (ver 
figura 13.1). En general, se suele incluir en alguno de los bloques dei mensaje m —al 
principio o al final—, información sobre la longitud total dei mensaje. De esta forma 
se reducen las probabilidades de que dos mensajes con diferentes longitudes den el 
mismo valor en su resumen. 


13.4. Algoritmo MD5 

Se trata de uno de los más populares algoritmos de generación de signaturas, 
debido en gran parte a su inclusión en las primeras versiones de PGP. Resultado de 
una serie de mejoras sobre el algoritmo MD4, disenado por Ron Rivest, procesa los 
mensajes de entrada en bloques de 512 bits, y produce una salida de 128 bits. 
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Figura 13.1: Estructura iterativa de una función resumen. R representa la función de 
compresión, m es el mensaje completo, m; el i-ésimo trozo de m, y la salida de la 
función en el paso i. 


Siendo m un mensaje de b bits de longitud, en primer lugar se alarga m hasta que 
su longitud sea exactamente 64 bits inferior a un múltiplo de 512. El alargamiento se 
lleva a cabo anadiendo un 1 seguido de tantos ceros como sea necesario. En segundo 
lugar, se ahaden 64 bits con el valor de b, empezando por el byte menos significativo. 
De esta forma tenemos el mensaje como un número entero de bloques de 512 bits, y 
además le hemos ahadido información sobre su longitud. 

Antes de procesar el primer bloque dei mensaje, se inicializan cuatro registros de 
32 bits con los siguientes valores hexadecimales, según el critério little endian —el 
byte menos significativo queda en la dirección de memória más baja—: 


A = 

67452301 

B = 

EFCDAB89 

C = 

98 BADCFE 

D = 

10325476 


Posteriormente comienza el lazo principal dei algoritmo, que se repetirá para cada 
bloque de 512 bits dei mensaje. En primer lugar copiaremos los valores de A,B,C y D 
en otras cuatro variables, a,b,c y d. Luego definiremos las siguientes cuatro funciones: 
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F(X,Y,Z) = (X AY) V ((~>X) A Z) 

G(X,Y,Z) = (X A Z) V ((Y A (~>Z)) 

H(X,Y,Z) = X@Y®Z 

I(X,Y,Z ) = F0(lV(nZ)) 

Ahora representaremos por rrij el j-ésimo bloque de 32 bits dei mensaje m (de 0 a 
15), y definiremos otras cuatro funciones: 

FF(a,b,c,d,mj,s,ti ) representa a — b + ((a -f 5(6, c, d) + rrij + ti) < s) 
GG(a,b,c,d,mj,s,ti) representa a — b + ((a + G{b, c, d) + rrij + U) <3 s) 
HH(a,b,c,d,rrij,s,ti) representa a — b + ((a + H(b, c, d) + rrij + U) < s) 
II(a,b,c,d,rrij,s,ti) representa a = b + ((a + I(b, c, d) + rrij + A) < s) 

donde la función a < s representa desplazar circularmente la representación binaria 
dei valor a s bits a la izquierda, con reentrada. 

Las 64 operaciones que se realizan en total quedan agrupadas en cuatro rondas. 

■ Primera Ronda: 

FF (a, b, c, d, m 0 , 7, H76AA478) 

FF (d, a, b, c, mi, 12 , E8C7 B756) 

FF(c, d, a, 6 , m 2 ,17, 242070197?) 

FF(b, c, d, a, 777 . 3 , 22, C1BDCEEE) 

FF (a, b, c, d, 7774 , 7, F57C0FAF) 

FF (d, a, b, c, 7775 ,12,4787C62A) 

FF(c, d, a, 6, tt7 6 , 17, A8304613) 

FF{b , c, d, a, 7777 , 22, F19469501) 

FF (a, b, c, d, 7773 , 7, 698098198) 

FF (d, a, b, c, 7779 ,12, 8H44F7AF) 

FF(c, d, a, 6,777i 0 ,17, FFFF5BB1) 

FF(b, c, d, a, 777n, 22, 89567197 BE) 

FF (a, b, c, d, 77742 , 7, 611901122) 

FF (d, a, b, c, 77743 ,12, F19987193) 

FF(c, d, a, b, 77744 ,17, A679438H) 

FF( 6 , c, d, a, 77745 , 22,49540821) 

■ Segunda Ronda: 

GG(a, b, c, d, 7774 , 5, F6152562) 

GG(d, a , 6, c, t?7 6 , 9,670405340) 

6767(c, d, a, b, 77744 ,14,26555A51) 
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GG(b, c, d, a, mo, 20, E9B6C7AÁ) 
GG(a, b, c, d, m 5, 5, D62F105D) 
GG(d, a, b, c, m w , 9, 02441453) 

GG(c , d, a, b, m 15, 14, D8A1E681) 
GG(b, c, d, a, m 4 , 20, E7D3FBC8) 
GG(a, b, c, d, mg, 5, 21E1CDE6) 
GG(d , a, 6 , c, mu, 9, C33707H6) 
GG(c, d, a, b, m 3 ,14, FAD39D87) 
GG(b, c, d, a, m 8 , 20, 455A14ED) 
GG(a, b, c, d, mi 3 , 5, 2L9773C905) 
GG(d, a, b, c, m 2 , 9, FCEF A3F8) 
GG(c, d, a, b, m. 7 , 14, 676F02H9) 
GG( 6 , c, d, a, mu, 20,8D22L4C82L) 

■ Tercera Ronda: 

FIEI {a, b, c, d, m$, 4, FFFA39A2) 
HH{d, a, b, c, m 8 , 11,8771F681) 
HH(c, d, a, b, mu, 16, 6H9H6122) 
HH(b, c, d, a, mu, 23, FDE5380C) 
HH(a, b, c, d, m u A, AABEEAAA) 
HH(d, a, b, c, m 4 ,11, ABDECFA9) 
HH(c, d, a, b, m. 7 , 16, F6ÜÜ4Ü60) 
HH(b, c, d, a, mio, 23, BEBFBC79) 
HH(a, b, c, d, m 13 , 4, 289Ü7 EC6) 
HH(d, a, b, c, m 0 , 11, ÜMA127ÍC4) 
HH(c, d, a, b, m 3 , 16, .D4CF3085) 
HH(b, c , d, a, m. 6 , 23,04881H05) 
HH(a, b, c, d, mg, A, D9DAD039) 
HH(d, a, b, c, m 12 , 11, E6DB99E5) 
HH(c, d, a, b, m 15 , 16, 1F A27CF8) 
HH(b, c, d, a, m 2 , 23, C42LC5665) 

■ Cuarta Ronda: 

II(a, b, c, d, mg, 6 , F4292244) 

II(d, a, b, c, 7717 ,10,432AFF97) 

II (c, d, a, b, m 14 ,15, AB9A23A7) 

II(b, c, d, a, 7715 , 21, FC932L039) 

II(a, b, c, d, m\ 2 , 6, 655Ü59C3) 

II(d, a, b, c, m 3 ,10, 8F0CCC92) 

II (c, d, a, b, mio, 15, FFEFFA7D) 
II(b, c, d, a, mi, 21, 85845-DH1) 
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II (a, b, c, d, ms, 6, 6FA87E4F) 

II(d, a, b, c, mis, 10, FE2CE6E0) 
II (c, d, a, b, 777g, 15, A3014314) 

II(b , c, d, a, 77713, 21, 4Ü70811.A1) 
//(a, b, c, d, 7774, 6, F7537E82) 
II(d , a, b , c, 777n, 10, B D3AF235) 
II (c, d, a, b, 7772 ,15, 2AD7D2BB) 
II(b , c, d , a, 7779, 21, .EÜSô-DSQl) 


Finalmente, los valores resultantes de a,ò,c y d son sumados con A,B,C y D, que¬ 
dando listos para procesar el siguiente bloque de datos. El resultado final dei algorit¬ 
mo es la concatenación de A,B,C y D. 

A modo de curiosidad, diremos que las constantes t, empleadas en cada paso son 
la parte entera dei resultado de la operación 2 32 ■ abs(sin(*)), estando i representado 
en radianes. 


13.5. Algoritmo SHA-1 


El algoritmo SEIA-1 fue desarrollado por la NSA, para ser incluido en el estándar 
DSS (Digital Signature Standard). Al contrario que los algoritmos de cifrado propues- 
tos por esta organización, SEIA-1 se considera seguro 1 y libre de puertas traseras, ya 
que el hecho de que el algoritmo sea realmente seguro favorece a los propios intere- 
ses de la NSA. Produce firmas de 160 bits, a partir de bloques de 512 bits dei mensaje 
original. 

El algoritmo es similar a MD5, con la diferencia de que usa la ordenación big 
endian. Se inicializa de igual manera, es decir, anadiendo al final dei mensaje un uno 
seguido de tantos ceros como sea necesario hasta completar 448 bits en el último 
bloque, para luego yuxtaponer la longitud en bits dei propio mensaje —en este caso, 
el primer byte de la secuencia será el más significativo—. A diferencia de MD5, SEIA-1 
emplea cinco registros de 32 bits en lugar de cuatro, que deben ser inicializados antes 
de procesar el primer bloque con los siguientes valores: 


1 Desafortunadamente, la seguridad de SHA-1 ha quedado puesta en entredicho debido a los avan¬ 
ces conseguidos en 2004 y 2005 por un equipo de criptólogos chinos, liderado por Xiaoyun Wang. 
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A = 

67452301 

B = 

EFCDAB89 

C = 

98 BADCFE 

D = 

10325476 

E = 

C3D2E1F0 


Una vez que los cinco valores están inicializados, se copian en cinco variables, a, 
b,c,dy e. El lazo principal tiene cuatro rondas con 20 operaciones cada una: 


F(X, Y, Z) 
G(X,Y,Z) 
H(X, Y, Z) 


(X A 1") V ((-.X) A Z) 

X © Y © Z 

(. X A Y) V (X AZ) V (Y A Z) 


La operación F se emplea en la primera ronda (t comprendido entre 0 y 19), la G 
en la segunda (t entre 20 y 39) y en la cuarta (t entre 60 y 79), y la H en la tercera (t 
entre 40 y 59). Además se emplean cuatro constantes, una para cada ronda: 


K 0 = 5A827999 
Ki = 6ED9EBA1 
K 2 = 8F1BBCDC 
K 3 = CA62C1D6 


El bloque de mensaje m se trocea en 16 partes de 32 bits m 0 a rri \ 5 y se convierte 
en 80 trozos de 32 bits w 0 a w 79 usando el siguiente algoritmo: 


w t = m t para t = 0 ... 15 

w t = (w t _ 3 © w t _ 8 © © w t _io) < 1 para t — 16 ... 79 

Todos los rn % obtenidos se interpretan como enteros en las operaciones dei algo¬ 
ritmo empleando la ordenación big endian. Como curiosidad, diremos que la NSA 
introdujo en 1995 el desplazamiento a la izquierda para corregir una debilidad dei al¬ 
goritmo, que no fue descubierta por los criptógrafos civiles hasta 2004, lo cual supuso 
modificar el nombre dei mismo para llamar a partir de entonces SEIA-0 a la versión 
original, y SHA-1 a la modificada. 

El lazo principal dei algoritmo es entonces el siguiente: 
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FOR t = 0 TO 79 
i — t div 20 

Tmp = (a < 5) + A(b, c, d) + e + w t + FQ 
e = d 
d = c 
c = b< I 30 
b = a 
a = Tmp 

siendo A la función F, G o H según el valor de t (F para t e [0,19], G para t e [20, 39] 
y [60, 79], H para t e [40, 59]). Después los valores de a a e son sumados a los registros 
A a E y el algoritmo continúa con el siguiente bloque de datos. Finalmente, el valor 
de la función resumen será la concatenación de los contenidos de los registros A a E 
resultantes de procesar el último bloque dei mensaje. 


13.6. Seguridad de las Funciones MDC 

Puesto que el conjunto de posibles mensajes de longitud arbitraria es infinito, y 
el conjunto de posibles valores de una función MDC es finito, inevitablemente ha- 
brá valores para la función que se correspondan con más de un mensaje. De hecho, 
puede demostrarse que al menos un valor de la función MDC se corresponde necesa- 
riamente con infinitos mensajes, y es razonable sospechar que, en general, cada uno 
de los posibles valores de la función va a corresponder con infinitos mensajes. En 
consecuencia, siempre va a ser posible, dado un valor r(m), encontrar un ml tal que 
r(m ) = r{ml). La fortaleza de las funciones MDC radica, pues, en la dificultad que 
plantea encontrar el ml. 

Llamaremos colisión a un par de mensajes (m,m') tales que r(rnl) = r(ml). De 
lo argumentado en el párrafo anterior, podemos deducir que todos los algoritmos 
MDC presentan colisiones. Distinguiremos no obstante dos tipos de estratégias para 
hallarlas, con objeto de delimitar el grado de compromiso que pueden provocar en 
un algoritmo concreto: 


■ De preimagen: El atacante parte de un mensaje m, y calcula otro mensaje ml que 
colisiona con el primero. 

■ De colisión propiamente dicha: El atacante se limita a buscar dos valores m y 
ml que colisionen, pero desconoce inicialmente tanto sus valores como el que 
tomará la función resumen. 
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En el primer caso, el MDC queda comprometido de manera grave, ya que bastará 
con sustituir un m con el ml que hayamos calculado para falsificar un mensaje. De 
todas formas, es bastante difícil que el m! tenga un aspecto válido. Piénsese por ejem- 
plo en un mensaje m de texto: nuestra técnica de preimagen tendría que ser capaz de 
generar otro mensaje m! , también de texto, y con un significado concreto, para que la 
falsificación tuviera interés. Lo más habitual es que el ml obtenido tenga un aspecto 
más o menos aleatorio, lo cual le conferiría una utilidad mucho más limitada, como 
por ejemplo la intoxicación de redes de comunicación con datos erróneos que puedan 
pasar por autênticos. 

En el segundo, la situación es menos grave. Puesto que no sabemos a priori los 
valores m y ml que vamos a encontrar, dificilmente podremos emplear una técnica 
de este tipo para falsificar una firma digital —a no ser que logremos que la víctima 
firme un mensaje sin sentido y luego lo sustituyamos por otro, también sin sentido—. 

En la actualidad se han encontrado colisiones para los algoritmos EIAVAL-128, 
MD4, MD5, RIPEMD, SEIA-0 y SEIA-1. Afortunadamente, se han calculado a partir 
de métodos dei segundo tipo, por lo que las repercusiones a las que dan lugar son 
limitadas, si bien conviene tener en cuenta esta situación a la hora de utilizar alguno 
de estos algoritmos en nuestras aplicaciones. Una estratégia bastante simple, destina¬ 
da a evitar de manera provisional los problemas que estas colisiones pueden causar, 
consiste en emplear como signatura dei mensaje la concatenación de dos signaturas 
obtenidas con algoritmos diferentes, lo cual obligaría a encontrar m y nn! tales que 
colisionen para ambos. 


13.7. Funciones de Autentificación de Mensaje 

Los MAC se caracterizan por el empleo de una clave secreta para poder calcular 
la integridad dei mensaje. Puesto que dicha clave sólo es conocida por el emisor y el 
receptor, el receptor es el único que puede, mediante el cálculo de la función corres- 
pondiente, comprobar tanto la integridad como la procedência dei mensaje. Podemos 
distinguir vários tipos: 


■ Basados en cifrados por bloques: Son los más comunes, y consisten en cifrar el men¬ 
saje empleando un algoritmo por bloques en modo de operación CBC (sección 
10.6). El valor dei MAC será entonces el resultado de cifrar el último bloque dei 
mensaje. 

■ HMAC: Se basan en el uso de cualquier función MDC existente, aplicada sobre 
una versión dei mensaje a la que se ha anadido un conjunto de bits, calculados 
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a partir de la clave que se quiere emplear. Por ejemplo, la función FIMAC a la 
que da lugar el algoritmo MD5 tiene la siguiente estructura: 

MD5(/c © opad, MD5(/c © ipad , m)) 

donde k es la clave —alargada con ceros por la derecha hasta tener 64 bytes de 
longitud—> opad es el byte con valor hexadecimal 5C repetido 64 veces, ipad es 
el valor hexadecimal 36 repetido 64 veces, m es el mensaje, y la coma representa 
la concatenación. 

■ Basados en generadores de secuencia: Empleando un generador de secuencia pseu- 
doaleatorio el mensaje se parte en dos subcadenas —correspondientes al mensa¬ 
je combinado con la secuencia y a la propia secuencia—, cada una de las cuales 
alimenta un Registro de Desplazamiento Retroalimentado (sección 11.3). El va¬ 
lor dei MAC se obtiene a partir de los estados finales de ambos registros. 
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Capítulo 14 
Esteganografía 


La palabra esteganografía proviene de los térmimos griegos (cubierto) y 

7 páipetu (escritura), por lo que literalmente significa escritura encnbierta. A diferencia 
dei concepto de criptografia, en el que se habla de escritura oculta, aqui se hace men- 
ción explícita de la existência de una capa superior que cubre el mensaje, de forma 
que éste pueda pasar inadvertido. A lo largo de la historia podemos encontrar múl- 
tiples ejemplos de técnicas esteganográficas: desde la escritura en la cabeza afeitada 
de un mensajero, cuyo pelo se dejaba crecer antes de enviarlo, hasta los micropuntos 
empleados en la II Guerra Mundial, que camuflaban páginas enteras de texto micro¬ 
filmadas en un simple signo de puntuación, dentro de una aparentemente inofensiva 
carta. Quizás el caso más conocido de esteganografía en lengua castellana sea el poe¬ 
ma que aparece al principio de La Celestina, en el que el bachiller Fernando de Rojas 
codifico su nombre y lugar de nacimiento empleando las letras iniciales de cada ver¬ 
so. 

Podemos decir que criptografia y esteganografía son técnicas diferentes, e inclu¬ 
so complementarias. Mientras que la primera se encarga de hacer el mensaje ilegible 
frente a agentes no autorizados, sin preocuparse de que éste pueda tener un aspecto 
claramente reconocible, la segunda provee mecanismos para hacer que el texto re¬ 
sulte indetectable, independientemente de que se encuentre cifrado o no. De hecho, 
en canales de comunicación inseguros, la simple destrucción dei mensaje por parte 
de un atacante puede ser suficiente para sus propósitos, independientemente de que 
pueda o no acceder a sus contenidos. En este sentido, puede afirmarse que la estega¬ 
nografía ha sido la técnica más ampliamente utilizada a lo largo de la Historia para 
escapar de la censura. 

Desde un punto de vista más formal, la esteganografía toma un mensaje anfitrión, 
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y lo modifica hasta encontrar otro mensaje diferente con el mismo significado 1 . Ese 
proceso de modificación se hace a partir dei mensaje huésped que queremos ocultar, 
de forma que únicamente aquellos que conozcan el proceso seguido para su ocul- 
tación puedan recuperado de manera satisfactoria. En función de la naturaleza dei 
mensaje anfitrión (un texto ASCII, una imagen JPEG, un fragmento de sonido MP3, 
etc.), cambiará radicalmente el concepto de significado, y por lo tanto los procesos de 
modificación que permitirán alojar el huésped sin despertar sospechas. 

Una combinación adecuada de criptografia y esteganografía puede permitir que, 
aunque el atacante conozca por completo el mecanismo de ocultación dei huésped 
en el anfitrión, únicamente recupere algo cuyas propiedades estadísticas son iguales 
a las dei ruido blanco, por lo que el autor dei mensaje podrá repudiado (ver sección 
2 .6), evitando que se le obligue a facilitar sus claves criptográficas o se le someta a 
represálias, ya que resultará matemáticamente imposible demostrar la propia exis¬ 
tência dei mensaje. 


14.1. Métodos Esteganográficos 

Dedicaremos esta sección a comentar brevemente y de forma general algunas téc¬ 
nicas esteganográficas. Dependiendo de la naturaleza dei mensaje anfitrión, los bits 
que lo componen serán interpretados de una u otra forma, y por lo tanto tendremos 
que actuar de manera diferente para poder ocultar información en él. Distinguiremos 
entre archivos de texto, en los que el mensaje es una secuencia de letras, y archivos 
que representan algún tipo de senal, ya sea unidimensional — sonido —, bidimen¬ 
sional —imagen—, o tridimensional —vídeo—, que denominaremos genéricamente 
archivos Multimedia. 


14.1.1. En archivos de texto 

En un archivo de texto, en general, cada byte viene asociado a una letra, un nú¬ 
mero, un símbolo o un carácter de control. Por ejemplo, si empleamos la codificación 
ASCII, la letra "a" se corresponde con el valor numérico 97. Es posible por tanto con¬ 
siderar el mensaje anfitrión como una secuencia de caracteres, en lugar de tomarlo 
colmo una secuencia de bits. Podemos entonces actuar de dos maneras: modificar un 


1 En algunos casos, el mensaje anfitrión puede ser generado a partir dei mensaje que se pretende 
ocultar. En esas situaciones, la única condición que el mensaje generado debe cumplir es que posea 
algún sentido, al menos aparentemente. 
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texto existente en función dei mensaje que queremos ocultar, sin alterar su significa¬ 
do, o bien generar un texto aparentemente inocuo a partir dei mensaje huésped. 

En el primer caso podemos jugar con los caracteres de control, introduciendo es- 
pacios o retornos de carro supérfluos que no alteren el significado dei mensaje anfi- 
trión. Por ejemplo, si queremos codificar un 1, podríamos introducir un espacio doble 
entre dos palabras consecutivas, y un espacio simple si queremos representar un 0. 
De esta forma será relativamente fácil introducir un mensaje huésped de tantos bits 
de longitud como huecos entre palabras contenga el mensaje anfitrión. 

En el segundo caso haremos uso un generador de frases, programado con una 
serie de regias gramaticales y un vocabulário más o menos extenso, que empleará 
el mensaje huésped como guia para generar oraciones correctas gramaticalmente. 
El destinatário utilizaria un analizador léxico-sintáctico para deshacer la operación. 
Existen aplicaciones que generan, a través de este método, mensajes con apariencia 
de correos basura ( spam ), capaces de pasar desapercibidos entre los cientos de millo- 
nes de correos de este tipo que cada dia viajan por Internet. 


14.1.2. En archivos multimedia 

Un archivo multimedia representa usualmente la digitalización de algún tipo de 
senal analógica. Dicha senal analógica, de carácter continuo —con infinitos posibles 
valores en cada instante infinitesimal de tiempo— se convierte en una serie de nú¬ 
meros discretos —que sólo pueden tomar un número finito de valores en un núme¬ 
ro finito de instantes en el tiempo—. En el caso dei sonido (figura 14.1), los niveles 
de presión en el aire se miden un número fijo de veces por segundo (frecuencia de 
muestreo), y se aproximan con números enteros (precisión). Por ejemplo, en un CD 
de audio la frecuencia de muestreo es de 44.100Hz, y se emplea un número entero de 
16 bits para representar el nivel de senal en cada canal, lo cual permite representar 
65.536 niveles distintos. Eso nos deja un total de 176.400 bytes por cada segundo de 
sonido. 

Cuando se trata de representar imágenes (figura 14.2), éstas se subdividen en una 
matriz de m x n puntos —píxeles—, y para cada uno de ellos se almacena un valor 
entero, que representará el nivel de gris si es una imagen monocromática, o un vector 
de tres valores si es una imagen en color, que representará usualmente los niveles de 
rojo (R), verde (G) y azul (B) dei pixel en cuestión. En el caso de un vídeo, anadiríamos 
una tercera dimensión, correspondiente al tiempo. 

En general, un archivo multimedia acaba convirtiéndose en una secuencia de nú¬ 
meros que viene a representar una imagen estática o en movimiento, un sonido, o 
una combinación de todo lo anterior. Como el lector ya habrá advertido, almacenar 
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Figura 14.1: Proceso de muestreo de una senal de audio. 


directamente los valores recogidos en el proceso de digitalización dará lugar a fiche- 
ros extremadamente grandes. Por ejemplo, una hora de sonido con calidad CD ocupa 
unos 600 MB, mientras que una imagen en color de 2000 x 2000 píxeles tiene un ta- 
maho aproximado de 12MB. Por esta razón la inmensa mayoría de los formatos de 
almacenamiento de imagen y sonido emplean técnicas de compresión, que a su vez 
pueden dividirse en dos tipos: 


■ Sin perdida. El algoritmo de compresión permite recuperar exactamente los mis- 
mos datos que fueron obtenidos para cada una de las muestras durante en el 
proceso de digitalización. Estas técnicas trabajan eliminando la redundância de 
la cadena de bits correspondiente (ver sección 3.6), de forma que al descompri¬ 
miría obtenemos una copia idêntica a la original. 

■ Con pérdida. El algoritmo no permite recuperar con exactitud los valores de cada 
muestra, y por lo tanto da lugar a una imagen o sonido distintos dei original, 
aunque para el ojo u oído humanos la diferencia es apenas perceptible. Estas 
técnicas permiten obtener grados de compresión mucho mayores que las ante¬ 
riores, e incluso establecer un nivel de compromiso entre el tamano dei archivo 
resultante y el grado de degradación de la imagen o sonido originales. 
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Figura 14.2: Proceso de muestreo de una imagen monocromática. En el caso de una 
imagen RGB, en cada pixel se recogerían tres valores: el nivel de rojo (R), el nivel de 
verde (G), y el nivel de azul (B). 


Archivos multimedia sin pérdida 

En este caso, después dei proceso de digitalización se aplica un algoritmo de com- 
presión, que da lugar al fichero de imagen o sonido. Este fichero será nuestro mensaje 
anfitrión. Cuando se desee representar el contenido dei archivo, se usará un algorit¬ 
mo de descompresión, que permitirá recuperar exactamente los valores originales 
obtenidos durante el proceso de muestreo de la senal correspondiente, y se enviará 
el resultado al dispositivo que corresponda. A la hora de camuflar nuestro mensaje 
huésped, actuaremos directamente sobre los valores de muestreo, antes dei proceso 
de compresión, ya que éstos son únicamente una secuencia de datos numéricos. Ob- 
sérvese que todo lo que digamos en este apartado será también válido para archivos 
multimedia sin comprimir. 

En el caso de un archivo de sonido, una técnica bastante efectiva consiste en ma¬ 
nipular los bits menos significativos de cada muestra, sustituyéndolos por los bits 
de nuestro mensaje huésped. Eso introducirá una distorsión en el sonido resultante 
prácticamente imperceptible para el oído humano. Por ejemplo, si usamos los dos 
bits menos significativos de cada muestra en un archivo con calidad CD, podríamos 
llegar a introducir unos 75 MB de datos por cada de sonido, con una distorsión en la 
senal manipulada inferior al 0.01 %. 

En lo que respecta a los archivos de imagen podemos actuar de la misma forma, 
si bien en este caso existen técnicas que, explotando la organización espacial de los 
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píxeles de la imagen, permiten detectar zonas en las que la distorsión provocada 
por el mensaje huésped resulta menos perceptible para el ojo humano, con lo que se 
consigue ocultar mayor cantidad de información de forma satisfactoria en una misma 
imagen. 


Archivos multimedia con pérdida 

Los formatos de almacenamiento de imagen y sonido con pérdida dan lugar a 
secuencias de valores numéricos distintas de las obtenidas en el proceso de digitali- 
zación, por lo que si manipulamos directamente los bits de la secuencia, el proceso 
de compresión destruirá la información que hayamos ocultado. Describiremos bre¬ 
vemente el funcionamiento básico de estos algoritmos de compresión, para poder 
entender cómo deben tratarse si queremos usarlos a modo de huésped. 

Las llamadas transformadas son herramientas matemáticas que permiten represen¬ 
tar cualquier función —continua o discreta— a través de una serie de coeficientes. En 
general, necesitaremos un número infinito de coeficientes en el caso continuo, y tan¬ 
tos coeficientes como valores en el caso discreto, para poder representar de manera 
absolutamente precisa la senal. La ventaja que tiene trabajar con transformadas es 
que la mayor parte de la información suele estar concentrada en un número relativa¬ 
mente pequeno de coeficientes, por lo que podemos obtener buenas aproximaciones 
de la senal original a partir de un subconjunto de la totalidad de sus coeficientes, que 
serán más o menos precisas en función dei número de coeficientes que conservemos. 

Los formatos de compresión de archivos multimedia más comunes emplean dis¬ 
tintos tipos de transformada, como la Transformada de Lourier, o la Transformada 
Discreta dei Coseno. En el caso de los archivos JPEG, la imagen se divide en regiones 
de 8 x 8 píxeles de tamano, y en el de los archivos MP3 en marcos de un número deter¬ 
minado de muestras, asociados a un intervalo determinado de tiempo. A cada trozo 
se le aplica una transformada, y los coeficientes resultantes se truncan —cuantizan—, 
siguiendo unas pautas perceptuales 2 . Pinalmente se aplica un algoritmo de compre¬ 
sión sin pérdida al resultado, y se obtiene el fichero final. 

Si queremos ocultar un mensaje dentro de uno de estos archivos, habrá que ma¬ 
nipular directamente los coeficientes cuantizados, e introducir en ellos los bits dei 
mensaje. Como es lógico, ya que los bits que se preservan en los coeficientes son los 
que mayor cantidad de información transportan, también serán más sensibles a al- 
teraciones, por lo que podremos ocultar muchos menos bits dei mensaje huésped si 

2 Está demostrado que los sentidos dei ser humano son más sensibles a determinadas característi¬ 
cas, por lo que a la hora de truncar los coeficientes, se les da prioridad a los que mejor percibimos, 
para que las distorsiones sean poco perceptibles. 
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queremos mantener un nivel de distorsión en el resultado final que sea realmente 
imperceptible. 

Una segunda aproximación para ocultar información en archivos multimedia con¬ 
siste en manipular la imagen o el sonido originales, antes de pasar por el algoritmo de 
compresión, introduciendo modificaciones sutiles que puedan sobrevivir a diversos 
tipos de transformaciones, como recortes, escalados, rotaciones, diferentes compre- 
siones y recompresiones con pérdida, etc. Estas técnicas resultan más complejas y se 
suelen basar en superponer a la senal original alguna función global cuyo espectro 3 
esté en frecuencias muy bajas, tal que el ser humano no la perciba y las degradacio- 
nes surgidas dei proceso de compresión no la destruyan. Usualmente, las técnicas de 
marcas de agua ( watermarking ) sobre contenidos multimedia digitales se basan en estos 
principios. 


14.2. Detección de mensajes esteganografiados 

Hasta ahora hemos comentado una serie de métodos más o menos sutiles para 
ocultar información en diferentes tipos de archivo, pero la cuestión realmente impor¬ 
tante es la siguiente: posible detectar si un mensaje cualquiera alberga informa¬ 

ción esteganografiada? Esta pregunta resulta crucial, ya que a la postre el objetivo de 
las técnicas esteganográficas es impedir -o al menos dificultar- esa detección. 

Para decidir si un mensaje cualquiera es en realidad el anfitrión de otro, tendre- 
mos que ponernos en el lugar de quien lo generó, y seleccionar en él los bits que 
consideremos más adecuados para ocultar información. Una vez aislados, habrá que 
realizar un estúdio acerca de su distribución estadística típica en un mensaje nor¬ 
mal, y comparar los resultados con los valores extraídos dei archivo sospechoso. Po- 
dremos considerar que hemos encontrado un indicio de la presencia de un mensaje 
oculto si los resultados obtenidos difieren de los que presenta un mensaje limpio. Esto 
nos obliga a conocer, al menos a grandes rasgos, qué métodos esteganográficos ha 
podido usar nuestro adversário, y a disenar pruebas específicas para detectar cada 
uno de ellos. 

Evidentemente, la recuperación completa dei mensaje huésped es una prueba irre- 
futable de que éste existe, que siempre puede llegar a conseguirse. No obstante, si el 
mensaje huésped se encuentra cifrado, podemos considerar esa posibilidad fuera dei 
alcance de quien analiza el mensaje anfitrión. En ese caso, la prueba de la presencia de 
un mensaje oculto dentro de otro tendrá que basarse en las propiedades estadísticas 
de la información analizada. En general, se puede conseguir que resulte imposible, 

3 E1 espectro de una senal es el rango de los coeficientes no nulos de su transformada. 
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desde un punto de vista matemático, demostrar que un mensaje alberga información 
esteganografiada. Para ello han de seguirse las siguientes pautas: 

1. Analizar estadísticamente los bits dei mensaje anfitrión que van a ser alterados 
durante el proceso de esteganografiado. 

2. Cifrar el mensaje huésped antes de introducirlo en el anfitrión. 

3. Manipular el mensaje huésped, una vez cifrado, para que presente una distri- 
bución estadística similar a la de los bits analizados previamente. 

El caso ideal consistiría en seleccionar un subconjunto de bits dei mensaje an¬ 
fitrión que posea una distribución estadísticamente aleatória, y cuya alteración no 
resulte perceptible en el fichero resultante, para luego sustituirlos por una versión 
comprimida y cifrada dei mensaje huésped, que también deberá presentar una dis¬ 
tribución estadísticamente aleatória. 
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Capítulo 15 

Pruebas de Conocimiento Cero 

15.1. Introducción 


Cuando un agente A pretende convencer a otro B de que posee una cierta infor- 
mación X, la estratégia más simple e intuitiva consiste en que A proporcione a B 
ei valor de X. Sin embargo, a partir de ese momento, B conocerá ei secreto de A y 
podrá contárselo a todo ei mundo. O lo que es peor: un atacante C puede espiar la 
comunicación entre Ay B y robar ei secreto. 

Si bien este problema puede ser resuelto a partir de criptografia asimétrica (capí¬ 
tulo 12) o de funciones resumen (capítulo 13), como veremos en ei capítulo 17, existe 
un mecanismo que, a través de un proceso interactivo, permite a A probar a B que 
posee ei secreto en cuestión, sin revelar ningún tipo de información acerca de X en 
ei proceso. En general, estas técnicas, conocidas como Pruebas de Conocimiento Cero, 
suelen tener modestos requerimientos computacionales en comparación con otros 
protocolos, de ahí su interés. 

Una prueba de conocimiento cero se basa en la formulación por parte de B de una 
serie de preguntas. Si A conoce ei valor de X, podrá responder correctamente a todas 
ellas; en caso contrario, tendrá una probabilidad determinada de acertar la respuesta 
en cada caso —usualmente dei 50%—. De esta forma, la probabilidad de que un 
impostor logre superar una prueba de n preguntas es de l/2 n . Otra característica 
importante es que ninguno de los mensajes que intercambian A y B a lo largo dei 
proceso aporta información a un eventual espia C sobre el valor de X. Finalmente, 
es necesario recalcar que la secuencia de preguntas debe ser diferente y aleatória en 
cada caso, de forma que C no pueda memorizar la secuencia concreta de respuestas y 
así enganar a B. 
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15.2. Elementos 

A la hora de describir el funcionamiento de una prueba de conocimiento cero, es 
interesante definir los distintos elementos que la componen, con objeto de facilitar su 
comprensión: 

■ Un Secreto X, que puede ser una contrasena, una clave privada, o cualquier otra 
información cuya posesión se quiera demostrar. 

■ Un Demostrador (al que llamaremos David a partir de ahora), que es quien pre¬ 
tende demostrar que posee el secreto X. 

■ Un Verificador (al que llamaremos Víctor), que es quien debe asegurarse de que 
David está en posesión de X. 

■ Un Problema —usualmente algún problema matemático computacionalmente 
costoso— sobre el que basar cada una de las preguntas que se formularán a lo 
largo dei proceso. 

Adicionalmente, habremos de tener en cuenta la posibilidad de que existan agen¬ 
tes que escuchen los mensajes que intercambian Víctor y David, e incluso que los eli- 
minen, los manipulen, o anadan mensajes falsos, para poder garantizar la efectividad 
de estas pruebas. 


15.3. Desarrollo 

Un ejemplo típico en la literatura para explicar las pruebas de conocimiento ce¬ 
ro se basa en una variante circular de la cueva de Alí Babá (figura 15.1), tal que la 
entrada se bifurca y las dos ramas resultantes quedan comunicadas por una puerta. 
Supongamos que David conoce la contrasena que abre la puerta, y quiere convencer 
a Víctor de ello sin decírsela. David se introduciría por una de las ramas de la cue¬ 
va sin que Víctor supiera cuál, seguidamente Víctor entraria y pediría a David que 
saliera por una de las ramas, escogida de forma aleatória. Si David conoce la contra¬ 
sena podrá abrir la puerta cuando lo necesite para salir por el lugar solicitado, pero 
si la ignora sólo podrá salir por el lugar correcto la mitad de las veces. Tras repetir un 
número razonable de veces este proceso, Víctor quedará convencido de que David 
posee la contrasena correcta, sin conocerla él mismo. Además, la observación de todo 
el proceso por parte de un tercero no servirá a nadie para poder hacerse pasar por 
David. 
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Figura 15.1: La cueva de conocimiento cero. 


Este ejemplo no es más que una analogia para entender mejor una prueba de 
conocimiento cero. De hecho, a David le hubiera bastado con entrar por una rama y 
salir por la otra para convencer a Víctor. Veamos ahora el proceso desde un punto de 
vista más completo y formal. David, para demostrar que se encuentra en posesión 
dei secreto X, construye un problema matemático M, computacionalmente difícil de 
resolver, de forma que X constituya una solución para M — nótese que David parte 
de la solución para elaborar el problema—. Se produce entonces el siguiente diálogo: 


1. David transforma M para construir un nuevo problema matemático M', cuya 
solución X' se podrá calcular fácilmente a partir de X, y lo envia a Víctor. 

2. Víctor genera un bit aleatorio B y lo remite a David. 

3. Si: 


■ B = 0, David demuestra la relación entre M y M', sin dar la solución a M'. 

■ B = 1, David proporciona la solución X' dei problema M', sin revelar la 
relación entre M y M'. 


Observando el protocolo con atención, puede verse que la única forma de que 
David pueda responder correctamente a ambas preguntas es que posea la solución 
X. David únicamente revela, o bien la relación entre M y M ', o bien el valor de X ', y 
que cada una de estas cosas por separado resulta inútil para calcular X. 
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15.4. Modos de Operación 

Fundamentalmente, una prueba de conocimiento cero puede ser planteada de tres 
formas diferentes: 

■ Interactiva, de forma que David y Víctor generan e intercambian cada mensaje 
en línea, realizando los cálculos para el siguiente sólo cuando han recibido el 
anterior. 

■ Paralela, en la que Víctor genera un paquete de preguntas, las envia a David, y 
éste las contesta todas a la vez. 

■ Fuera de línea, en la que David genera una serie de problemas M., usa una fun- 
ción resumen (capítulo 13) aplicada sobre un mensaje concreto m concatenado 
con M, emplea los bits dei resultado como los diferentes valores de B, y anade 
a ( m , M) el conjunto S de soluciones correspondientes a los problemas. De esta 
manera cualquiera podrá verificar que el único que pudo generar el mensaje 
final (m, A4,S) fue David, lo cual puede funcionar como firma digital de David 
sobre el mensaje m (ver capítulo 17). 


15.5. Conocimiento Cero sobre Grafos 

Existen muchos problemas matemáticos susceptibles de ser empleados como ba¬ 
se para un protocolo de conocimiento cero. Uno de ellos es el dei homomorfismo 
de grafos 1 . Dados dos grafos con el mismo número de nodos, averiguar si reorde¬ 
nando los nodos dei primero se puede obtener una copia exacta dei segundo —son 
homomorfos—, es un problema computacionalmente intratable. Para construir una 
prueba de conocimiento cero basada en grafos, David partiría de un grafo G\, y reor¬ 
denando los nodos en función dei valor de X calcularia G 2 . De esta forma, el secreto 
À" queda asociado a la correspondência entre G 1 y G 2 - El protocolo quedaria como 
sigue: 

1. David reordena los nodos de G\, y obtiene un grafo H, que será homomorfo a 

G\ y C 2 . 

2. Víctor genera el bit aleatorio B. 

3. David envia a Víctor la correspondência entre G\ y H si B = 1, o la correspon¬ 
dência entre C 2 y H si B = 0. 

1 Un grafo es un conjunto de puntos o nodos conectados entre sí por arcos 
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Obsérvese que para conocer la correspondência entre G\ y G 2 —o sea, el valor 
dei secreto X — son necesarias simultáneamente las correspondências entre G\ y II, 
y entre H y G 2 . Puesto que David únicamente revela una de las dos, el protocolo 
funciona correctamente. 


15.6. Ataques de Intermediário 

Al igual que cualquier otra técnica, las pruebas de conocimiento cero también 
presentan puntos débiles, que deben ser conocidos para su correcta utilización. En 
este caso la mayoría de los ataques pueden producirse a través de intermediário. 

Supongamos que Andrés quiere suplantar a David frente a Víctor. Para conseguir 
su objetivo actuaría de la siguiente forma: 

1. Andrés, haciéndose pasar por David, solicita a Víctor realizar la prueba de co¬ 
nocimiento cero. 

2. Andrés, haciéndose pasar por Víctor, informa a David de que debe realizar la 
prueba. 

3. David genera el problema correspondiente, Andrés lo recoge y lo envia a Víctor 
como si lo hubiera generado él. 

4. Víctor genera el bit aleatorio B, lo envia Andrés, y Andrés se lo pasa a David. 

5. David responde, y Andrés reenvia la respuesta a Víctor. 

6. El proceso se repite tantas veces como requiera Víctor. 

Como resultado tenemos que Andrés ha logrado convencer a Víctor de que posee 
el mismo secreto que David, —aunque no lo conce, ni ha ganado información sobre 
él—. Este ataque resulta indetectable, y puede dar lugar a importantes brechas de 
seguridad, especialmente cuando la prueba de conocimiento cero se usa para com- 
probar la identidad de alguien. 
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Aplicaciones Criptográficas 
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Capítulo 16 

Protocolos de Comunicación Segura 

16.1. Introducción 


Quizás la aplicación más antigua de la Criptografia sea precisamente la de estable- 
cer canales de comunicaciones seguros entre dos puntos. Desde un soldado galopan¬ 
do a través de território enemigo hasta un haz láser, pasando por un hilo telegráfico, 
el ser humano ha empleado infinidad de médios para poder enviar sus mensajes, 
cada uno de ellos con sus propias peculiaridades. Pero si hay una característica que 
podemos considerar común a todos los canales de comunicaciones, es la ausência de 
control que sobre el mismo poseen ambos interlocutores. En el caso dei jinete, seria 
muy interesante poder crear un pasillo de território amigo a lo largo de todo su tra- 
yecto, pero en ese caso su propia tarea carecería prácticamente de sentido. En general, 
hemos de considerar que nuestros mensajes son depositados en un medio ajeno a no- 
sotros —y usualmente hostil—, y que los médios que apliquemos para su protección 
deben ser válidos en los casos más desfavorables. 

Un mensaje liberado en un medio hostil se enfrenta principalmente a dos peligros: 


■ Acceso por agentes no autorizados. En un medio sobre el que no podemos ejer- 
cer ningún control, esta posibilidad debe tomarse muy en serio. Tanto que en 
lugar de suponer que el enemigo puede acceder al mensaje, hemos de dar por 
hecho que va a hacerlo. Por lo tanto, nuestros sistemas de protección deben 
centrarse en garantizar que el mensaje resulte ininteligible a nuestro atacante. 

■ Alteraciones en el mensaje. Este problema puede llegar a ser mucho peor que el 
anterior, ya que si recibimos un mensaje que ha sido modificado y lo damos por 
bueno, las consecuencias para la comunicación pueden ser catastróficas. En este 
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sentido, las alteraciones pueden aplicarse tanto sobre el mensaje propiamente 
dicho, como sobre la información acerca de su verdadera procedência. 

La Criptografia, como ya hemos visto en anteriores capítulos, proporciona meca¬ 
nismos fiables para evitar los dos peligros que acabamos de mencionar. En general, 
cada una de las aplicaciones concretas que necesiten de estas técnicas poseerá unas 
características específicas, por lo que en cada caso habrá una combinación de algo¬ 
ritmos criptográficos que permitirá proporcionar al sistema el nivel de seguridad ne- 
cesario. Estas combinaciones de algoritmos se estructurarán finalmente en forma de 
protocolos, para proporcionar métodos de comunicación segura normalizados. 


16.2. Protocolos TCP/IP 

El conjunto básico de protocolos sobre los que se construye la red Internet se cono- 
ce popularmente como TCP/IP, agrupación de los nombres de dos de los elementos 
más importantes, que no los únicos, de la familia: TCP (Transmission Control Protocol) 
e IP (Internet Protocol). 

El modelo de comunicaciones sobre el que se basa Internet se estructura en for¬ 
ma de capas apiladas, de manera que cada una de ellas se comunica con las capas 
inmediatamente superior e inferior, logrando diversos niveles de abstracción, que 
permiten intercambiar información de forma transparente entre ordenadores. La con- 
secuencia más importante de este enfoque es que dos dispositivos cualesquiera, que 
pueden estar conectados a Internet por médios totalmente distintos —fibra óptica, ca- 
ble de cobre, láser, ondas electromagnéticas... —, y separados por multitud de enlaces 
diferentes —satélite, cables submarinos, redes inalámbricas...—, pueden conectarse 
entre ellos simplemente con que dispongan de una implementación de TCP/IP 

A diferencia dei modelo OSI, que consta de siete capas, denominadas aplicación, 
presentación, sesión, transporte, red, enlace y física, los protocolos TCP/IP se organizan 
únicamente en cinco (figura 16.1). Aunque la correspondência no es exacta, podemos 
decir que, básicamente, los tres niveles superiores dei modelo OSI se agrupan en el 
nivel de aplicación de TCP/IP Comentaremos brevemente cada uno de ellos: 

■ Capa Física. Describe las características físicas de la comunicación, como son el 
medio empleado, los voltajes necesarios, la modulación empleada, etc. 

■ Capa de Enlace. Indica cómo los paquetes de información viajan a través dei me¬ 
dio físico, indicando qué campos de bits se anaden a éstos para que puedan ser 
reconocidos satisfactoriamente en destino. Ejemplos de protocolos de enlace: 
Ethernet, 802.11 WiFi, Token Ring, etc. 
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Figura 16.1: Esquema dei conjunto de protocolos TCP/IP, en los que se basa la red 
Internet. 


■ Capa de Red. En ella se ubica el protocolo IP, cuyo propósito consiste en hacer 
llegar los paquetes a su destino a través de una única red. Existen algunos pro¬ 
tocolos de mayor nivel, como ICMP o IGMP, que aunque se construyen sobre IP, 
también pertenecen a la capa de red, a diferencia de lo que ocurre en el modelo 
OSI. 

■ Capa de Transporte. Su propósito es garantizar que los paquetes han llegado a 
su destino, y en el orden correcto. El protocolo más importante en este nivel es 
TCP, pero existen otros como UDP, DCCP o RTP 

■ Capa de Aplicación. Esta es la capa a la que acceden de forma directa la mayoría 
de las aplicaciones que usan Internet. En ella se reciben los datos, que son pa- 
sados a las capas inferiores para que sean enviados a su destino. A este nivel 
pertenecen prococolos tales como EITTP, FTP, SSH, EITTPS, IMAP, DNS, SMTP, 
IRC, etc. 


En la práctica, podemos encontrar protocolos encaminados a obtener comunica- 
ciones seguras en prácticamente todos los niveles de este esquema. En las próximas 
secciones comentaremos brevemente algunos de ellos. 

Los distintos protocolos de comunicación segura pueden ser utilizados para cons¬ 
truir las denominadas redes privadas virtuales. Una red privada virtual, en inglês 
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VPN (Virtual Private Netivork) es una red de comunicaciones privada construida so¬ 
bre una red pública. Hacia los usuários se comporta como si de una red interna se 
tratase, ofreciendo acceso únicamente a aquellos que estén autorizados, y resultan¬ 
do inaccesible para los demás, cuando en realidad todas las conexiones se realizan a 
través de Internet. 


16.3. Protocolo SSL 

El protocolo SSL (Secure Sockets Layer), desarrollado originalmente por la empresa 
Netscape, permite establecer conexiones seguras a través de Internet, de forma sen- 
cilla y transparente. Se sitúa en la capa de aplicación (figura 16.1), directamente sobre 
el protocolo TCP, y aunque puede proporcionar seguridad a cualquier aplicación que 
corra sobre TCP, se usa principalmente para proporcionar seguridad a los protocolos 
HTTP (web), SMTP (email) y NNTP (nezvs), dando lugar en el primero de los casos 
a los servidores web seguros, cuya URL comienza por el prefijo https : //. Su fun¬ 
damento consiste en interponer una fase de codificación de los mensajes antes de 
enviarlos a través de la red. Una vez que se ha establecido la comunicación, cuando 
una aplicación quiere enviar información a otra computadora, la capa SSL la recoge 
y la codifica, para luego enviaria a su destino a través de la red. Análogamente, el 
módulo SSL dei otro ordenador se encarga de decodificar los mensajes y se los pasa 
como texto claro a la aplicación destinataria. 

SSL también incorpora un mecanismo de autentificación que permite garantizar 
la identidad de los interlocutores. Tipicamente, ya que este protocolo se disenó origi¬ 
nalmente para establecer comunicaciones web, el único que suele autentificarse es el 
servidor, aunque también puede realizarse una autentificación mutua. 

Una comunicación a través de SSL implica tres fases fundamentalmente: 

■ Establecimiento de la conexión y negociación de los algoritmos criptográficos 
que van a usarse en la comunicación, a partir dei conjunto de algoritmos sopor- 
tados por cada uno de los interlocutores. 

■ Intercâmbio de claves, empleando algún mecanismo de clave pública (ver sec- 
ción 12.4.1), y autentificación de los interlocutores a partir de sus certificados 
digitales (ver capítulo 17). 

■ Cifrado simétrico dei tráfico. 

Una de las ventajas de emplear un protocolo de comunicaciones en lugar de un 
algoritmo o algoritmos concretos, es que ninguna de las fases dei protocolo queda 
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atada a ningún algoritmo, por lo que si en el futuro aparecen algoritmos mejores, o 
alguno de los que se emplean en un momento dado quedara comprometido, el cam¬ 
bio se puede hacer sin modificar el protocolo. En la actualidad, las implementaciones 
típicas de SSL soportan algoritmos como RSA, Diffie-Hellman o DSA para la parte 
asimétrica (capítulo 12); RC2, RC4, IDEA, DES, TripleDES o AES para la simétrica 
(capítulos 10 y 11), y como funciones resumen (capítulo 13) SEIA-1 o MD5. 

Las ventajas de SSL son evidentes, ya que liberan a las aplicaciones de llevar a 
cabo las operaciones criptográficas antes de enviar la información, y su transparência 
permite usarlo de manera inmediata sin modificar apenas los programas ya existen¬ 
tes. Desde hace tiempo los principales navegadores de Internet incorporan un módu¬ 
lo SSL, que se activa de forma automática cuando es necesario. Hasta diciembre de 
1999, debido a las restricciones de exportación de material criptográfico existentes en 
los EE.UU., la mayoría de los navegadores incorporaban un nivel de seguridad bas¬ 
tante pobre (claves simétricas de 40 bits), por lo que conviene comprobar qué nivel 
de seguridad se está empleando cada vez que hagamos una conexión. 

Existen implementaciones de SSL que permiten construir los denominados túne- 
les SSL, que permiten dirigir cualquier conexión a un puerto TCP a través de una 
conexión SSL previa, de forma transparente para las aplicaciones que se conectan. 


16.4. Protocolo TLS 


TLS (descrito en el documento RFC 2246 ) es un protocolo basado en la versión 
3.0 de SSL, si bien con una serie de mejoras que lo hacen incompatible con este últi¬ 
mo. Una de las ventajas que proporciona sobre SSL es que puede ser iniciado a partir 
de una conexión TCP ya existente, lo cual permite seguir trabajando con los mismos 
puertos que los protocolos no cifrados. Mientras que SSL es un protocolo incompati¬ 
ble con TCP, lo cual significa que no podemos establecer una conexión de un cliente 
TCP a un sevidor SSL ni al revés, y por tanto es necesario diferenciados utilizando 
distintos números de puerto (80 para un servidor zveb normal y 443 para un servidor 
zveb sobre SSL), con TLS puede establecerse la conexión normalmente a través de TCP 
y el puerto 80, y luego activar sobre el mismo el protocolo TLS. 

En este protocolo se emplea una serie de medidas de seguridad adicionales, enca- 
minadas a protegerlo de distintos tipos de ataque, en especial de los de intermediário 
(sección 12.2): 


■ Uso de funciones MAC en lugar de funciones MDC únicamente (ver capítulo 
13). 
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■ Numeración secuencial de todos los campos que componen la comunicación, e 
incorporación de esta información al cálculo de los MAC. 

■ Protección frente a ataques que intentan forzar el empleo de versiones antiguas 
—menos seguras— dei protocolo o cifrados más débiles. 

■ El mensaje que finaliza la fase de establecimiento de la conexión incorpora una 
signatura (hash) de todos los datos intercambiados por ambos interlocutores. 


Si bien el método usado con más frecuencia para establecer conexiones seguras a 
través de Internet sigue siendo SSL, cabe esperar que con el tiempo sea paulatinamen¬ 
te reemplazado por TLS, y que este último se convierta en el estándar de seguridad 
para las comunicaciones cifradas en Internet. 


16.5. Protocolos IPsec 


IPsec es un estándar que proporciona cifrado y autentificación a los paquetes IP, 
trabajando en la capa de red (figura 16.1). En lugar de tratarse de un único protocolo, 
IPsec es en realidad un conjunto de protocolos, definidos en diversos RFCs (princi¬ 
palmente en el 2401), encaminados a proporcionar autentificación, confidencialidad 
e integridad a las comunicaciones IP Su carácter obligatorio dentro dei estándar IPv6 
—recordemos que en IPv4, la versión más empleada en la actualidad de este proto¬ 
colo, es opcional— hará con seguridad que la popularidad de IPsec crezca al mismo 
ritmo que la implantación de la nueva versión dei protocolo IP 

IPsec puede ser utilizado para proteger una o más rutas entre un par de orde- 
nadores, un par de pasarelas de seguridad —ordenadores que hacen de intermediários 
entre otros, y que implementan los protocolos IPsec— o una pasarela y un ordenador. 
En función dei tipo de ruta que se proteja, se distinguen dos modos de operación: 


■ Modo túnel : Se realiza entre dos pasarelas de seguridad, de forma que éstas se 
encargan de crear una ruta segura entre dos ordenadores conectados a ellas, a 
través de la cual viajan los paquetes. De este modo se puede disponer dentro 
de una red local de un ordenador que desemperre las labores de pasarela, al 
que las computadoras de la propia red envíen los paquetes, para que éste les 
aplique los protocolos IPsec antes de remitirlos al destinatário —o a su pasare¬ 
la de seguridad asociada—. Este modo permite interconectar de forma segura 
ordenadores que no incorporen IPsec, con la única condición de que existan 
pasarelas de seguridad en las redes locales de cada uno de ellos. 
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■ Modo transporte: En este caso los cálculos criptográficos relativos a los protocolos 
IPsec se realizan en cada extremo de la comunicación. 

Básicamente, IPsec se compone a su vez de dos protocolos, cada uno de los cuales 
anade una serie de campos, o modifica los ya existentes, a los paquetes IP: 

■ Cabecera de autentificación IP, abreviado como AH (IP Authenticacion Header), 
disenado para proporcionar integridad, autentificación dei origen de los paque¬ 
tes, y un mecanismo opcional para evitar ataques por repetición de paquetes. 


■ Protocolo de encapsulamiento de carga de seguridad, o ESP (Encapsulating Se- 
curity Payload) que, además de proveer integridad, autentificación y protección 
contra repeticiones, permite cifrar el contenido de los paquetes. 

Debido a que algunos de los servicios que IPsec proporciona necesitan de la dis- 
tribución e intercâmbio de las claves necesarias para cifrar, autentificar y verificar la 
integridad de los paquetes, es necesario que éste trabaje en consonância con un con¬ 
junto externo de mecanismos que permita llevar a cabo esta tarea, tales como IKE, 
SKIP o Kerberos. 
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Capítulo 17 

Autentificación, Certificados y Firmas 
Digitales 

17.1. Introducción 


Cuando se establece una comunicación de cualquier tipo es necesario poder ase- 
gurar que los mensajes no han sufrido alteraciones, es decir, que la información reci- 
bida coincide exactamente con la enviada. En muchos casos, existe el requerimiento 
adicional de conocer la identidad de nuestro interlocutor —sea éste una persona o 
algún tipo de dispositivo—, para evitar que sea suplantado por un impostor. Deno¬ 
minaremos en general autentificación (o autenticación) a las operaciones consistentes 
en verificar tanto la identidad de nuestro interlocutor como la integridad de los men¬ 
sajes que de él recibimos. 

Independientemente de que la operación de autentificación se lleve a cabo sobre 
el contenido de una comunicación o sobre los propios interlocutores, ésta puede rea- 
lizarse en el mismo momento, de forma interactiva —como cuando se introduce una 
contrasena para acceder a un sistema—, o dejarse pospuesta para ser realizada pos¬ 
teriormente fnera de línea —como cuando se firma digitalmente un mensaje, en cuyo 
caso la firma puede ser verificada tantas veces como se desee, una vez finalizada la 
comunicación—. 
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17.2. Firmas Digitales 

Una firma digital es una secuencia de bits que se anade a una pieza de informa- 
ción cualquiera, y que permite garantizar su autenticidad de forma independiente 
dei proceso de transmisión, tantas veces como se desee. Presenta una analogia direc¬ 
ta con la firma manuscrita, y para que sea equiparable a esta última debe cumplir las 
siguientes propiedades: 

■ Va ligada indisolublemente al mensaje. Una firma digital válida para un docu¬ 
mento no puede ser válida para otro distinto. 

■ Sólo puede ser generada por su legítimo titular. Al igual que cada persona tie- 
ne una forma diferente de escribir, y que la escritura de dos personas diferentes 
puede ser distinguida mediante análisis caligráficos, una firma digital sólo pue¬ 
de ser construida por la persona o personas a quienes legalmente corresponde. 

■ Es públicamente verificable. Cualquiera puede comprobar su autenticidad en 
cualquier momento, de forma sencilla. 

La forma más extendida de calcular firmas digitales consiste en emplear una com- 
binación de cifrado asimétrico (capítulo 12) y funciones resumen (capítulo 13). El es¬ 
quema de funcionamiento queda ilustrado en la figura 17.1. 


17.3. Certificados Digitales 

Un certificado digital es esencialmente una clave pública y un identificador, fir¬ 
mados digitalmente por una autoridad de certificación, y su utilidad es demostrar que 
una clave pública pertenece a un usuário concreto. Evidentemente, la citada autori¬ 
dad de certificación debe encargarse de verificar previamente que la clave pública es 
autêntica. En Espana, por ejemplo, la Fábrica Nacional de Moneda y Timbre actúa como 
autoridad certificadora, firmando las claves públicas de los ciudadanos y generando 
los certificados digitales correspondientes. Cualquier entidad que disponga de la cla¬ 
ve pública de la FNMT estará en condiciones de verificar sus certificados digitales, 
otorgando la confianza correspondiente a las claves públicas asociadas a los mismos. 


17.3.1. Certificados X.509 

El formato de certificados X.509 (Recomendación X.509 de CCYTT:"The Directory - 
Autentication Framework" . 1988) es uno de los más comunes y extendidos en la actua- 
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Figura 17.1: Esquema de una firma digital basada en funciones resumen y algoritmos 
de cifrado asimétricos. A: generación de la firma; B: verificación. 


lidad. 

El estándar X.509 sólo define la sintaxis de los certificados, por lo que no está 
atado a ningún algoritmo en particular, y contempla los siguientes campos: 

■ Versión. 

■ Número de serie. 

■ Identificador dei algoritmo empleado para la firma digital. 

■ Nombre dei certificador. 

■ Periodo de validez. 

■ Nombre dei sujeto. 

■ Clave pública dei sujeto. 

■ Identificador único dei certificador. 

■ Identificador único dei sujeto. 

■ Extensiones. 

■ Firma digital de todo lo anterior generada por el certificador. 


Manuel J. Lucena López 


Criptografia y Seguridad en Computadores 












































234 


17. Autentificación, Certificados y Firmas Digitales 


17.3.2. Certificados de Revocación 

Cuando una clave pública pierde su validez —por destrucción o robo de la clave 
privada correspondiente, por ejemplo—> es necesario anularia. Para ello se emplean 
los denominados certificados de revocación que no son más que un mensaje que identifi¬ 
ca a la clave pública que se desea anular, firmada por la clave privada correspondien¬ 
te. De esta forma se garantiza que una clave pública únicamente puede ser revocada 
por su legítimo propietario —si la clave privada resulta comprometida, al atacante 
no le interesará revocarla, ya que entonces el material robado perdería su valor—. 
Como puede verse, para revocar una clave pública es necesario estar en posesión de 
la privada, por lo que si perdemos esta última, jamás podremos hacer la revocación. 
Para evitar estos problemas, conviene seguir una serie de pautas: 


■ Generar los pares de claves con un período limitado de validez. De esta forma, 
si no podemos revocar una clave, expirará por sí misma. 

■ Generar el certificado de revocación junto con el propio par de claves, y alma- 
cenarlo en lugar seguro. 

■ Algunos protocolos permiten nombrar revocadores para nuestra clave pública, 
que podrán generar un certificado de revocación empleando únicamente sus 
propias claves privadas. 


Si una clave ha sido anulada por alguna causa, las autoridades que la hubieran 
certificado deben cancelar todos sus certificados asociados. Esto hace que todas las 
autoridades dispongan de listas de revocación de certificados (CRL), que actualizan pe¬ 
riodicamente, además de un servicio de consulta de las mismas. Dicho servicio suele 
permitir tanto la consulta de la validez de un certificado concreto, como la descarga 
total o parcial de la CRL correspondiente. 


17.4. Verificación de Certificados Digitales 

Una autoridad de certificación suele tener un âmbito relativamente local, como 
puede ser una empresa, un campus universitário o un país entero. Si fuera necesario 
verificar un certificado digital de un certificador ajeno, dei cual desconocemos su fia- 
bilidad, existe la posibilidad de que la clave pública dei propio certificador esté a su 
vez firmada por otra entidad de la que sí nos fiemos, y de esta forma propagar nues¬ 
tra confianza hacia la entidad certificadora en cuestión. Esta circunstancia puede ser 
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A B 

Figura 17.2: Esquema jerárquico de certificación. Si A quiere comprobar la identidad 
de B, empleará la clave pública de EC 1 para verificar el certificado digital de EC3. 
Una vez hecha esta comprobación, podrá confiar en EC 3 como certificador de la clave 
pública de B. 


aprovechada de forma jerárquica —como en las PKI (Infraestructuras de Clave Pú¬ 
blica o, en inglês Public Key Infrastructure )— o distribuida —como hace PGP (capítulo 
18)—. 


17.4.1. Infraestructuras Jerárquicas 

En esta modalidad, las entidades certificadoras se organizan en forma de árbol 
por niveles (ver figura 17.2), de tal manera que las entidades certificadoras de un 
nivel poseen certificados digitales emitidos por autoridades de niveles superiores. 
Podremos verificar satisfactoriamente un certificado digital cualquiera, siempre que 
poseamos la clave pública de un certificador de primer nivel —que son muy pocos e 
internacionalmente reconocidos—. 

Como es natural, las entidades certificadoras que generen certificados finales — 
correspondientes a las hojas dei árbol— tendrán la única responsabilidad de com¬ 
probar de manera fehaciente que cada clave pública pertenece a su propietario. Sin 
embargo, aquellas entidades que certifiquen a otras entidades, deberán garantizar 
además que estas últimas emplean mecanismos adecuados para comprobar las iden- 
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tidades de sus clientes. De lo contrario, alguien podría crear una autoridad de certi- 
ficación, obtener el correspondiente certificado digital de niveles superiores, y luego 
emitir certificados falsos. 

El esquema jerárquico es realmente simple y efectivo, pero presenta un problema 
importante: si uno de los certificadores resulta comprometido, todos sus descendien- 
tes en el árbol quedan invalidados. Esto obliga, por un lado, a que las autoridades 
de certificación sean lo más transparentes posible, y por otro a que se mantengan 
siempre al día las listas de revocación de certificados. 


17.4.2. Infraestructuras Distribuídas 

Frente a la estructura jerárquica, se puede construir un esquema distribuido de 
certificación de claves, también conocido como anillo de confianza —ring of trust, en 
inglês—, en el que todos los usuários actúan como autoridades de certificación. Este 
sistema presenta la ventaja de ser muy resistente, ya que no depende de un pequeno 
grupo de entidades certificadoras, pero tiene el inconveniente de ser considerable- 
mente más complejo de manejar para los propios usuários. 

Puesto que no existen autoridades de certificación centralizadas, cada usuário tie¬ 
ne que responsabilizarse de lo siguiente: 


■ Verificar la autenticidad de todas aquellas claves públicas que le sea posible. 

■ Certificar aquellas claves sobre las que tenga absoluta certeza de que pertenecen 
a sus propietarios. 

■ Elegir en qué condiciones confiará en los certificados de otro usuário. 


Según el grado de confianza que presente un usuário, uno puede elegir creerse 
todos sus certificados, no aceptar ninguno — piénsese en un usuário que certifica todo 
lo que cae en sus manos, sin hacer ninguna comprobación—, o aceptar aquellos que, 
además, posean firmas de otros usuários. 

Como puede comprobarse, en este esquema la confianza en una entidad certifi- 
cadora puede tomar muchos valores, frente a los dos —confiable y no confiable— 
que puede tomar en un esquema jerárquico. Se establece, de hecho, una gradación de 
niveles de confianza que, como resultado, proporciona a su vez grados de confian¬ 
za sobre las claves públicas que nos encontremos, variando desde desconfianza total 
hasta confianza absoluta. 
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En muchos casos, la autentificación se lleva a cabo a partir de una pieza de infor- 
mación —clave o contrasena— que posee el agente que pretende autentificarse. Des- 
cribiremos en esta sección dos ejemplos de este tipo: la autentificación de un usuário 
mediante una contrasena, y la de un dispositivo —tarjeta inteligente, por ejemplo— 
que posee una clave secreta embebida. 


17.5.1. Autentificación por Contrasenas 

Existe un caso muy especial de autentificación, cuyo propósito es la identificación 
de una persona frente a un sistema informático, y que consiste en la introducción, 
usualmente mediante un teclado, de una palabra o frase secreta —password o passph- 
rase en inglês— que únicamente él conoce. 

La primera opción que cabría emplear consiste simplemente en que el sistema in¬ 
formático almacene las contrasenas de cada usuário, y que cada vez que un usuário 
pretenda acceder, se le pide la palabra clave y después se la compara con el valor 
almacenado. El problema es que si alguien logra acceder a la base de datos de con¬ 
trasenas, podrá suplantar fácilmente a todos y cada uno de los usuários dei sistema. 
Teniendo en cuenta que un sistema informático moderno suele permitir el acceso de 
múltiples usuários, con diversos niveles de privilégios sobre el mismo, e incluso en 
muchos casos existe un usuário genérico invitado, podemos concluir que almacenar 
las contrasenas en claro representa un riesgo demasiado elevado. Afortunadamente, 
el empleo de funciones resumen nos va a permitir validar las contrasenas sin necesi- 
dad de almacenarlas. 

Si en lugar de las contrasenas en claro, guardamos en nuestro sistema los valo¬ 
res resultantes de aplicar alguna función resumen (capítulo 13) sobre las mismas, 
podremos verificar las contrasenas introducidas por los usuários simplemente calcu¬ 
lando la signatura asociada a la clave introducida por el usuário y comparando con 
lo que tengamos almacenado. Sin embargo, y debido a las propiedades de las fun¬ 
ciones resumen, resultará extremadamente complejo para un atacante encontrar una 
contrasena a partir de una signatura dada. Este sistema, si bien es considerablemente 
más seguro que el almacenamiento en claro de las contrasenas, puede ser objeto de 
un ataque relativamente sencillo: 
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Ataque de diccionario 

Un usuário malicioso puede construir una base de datos con millones de contra- 
sehas —un diccionario—> obtenidas a partir de palabras, nombres, fechas, combina- 
ciones numéricas más o menos habituales, etc., y calcular la signatura de cada una de 
ellas. Una vez obtenido el archivo que contiene las signaturas de las contrasenas de 
cada usuário, bastará con buscar en la base de datos el valor correcto. Este dicciona¬ 
rio puede construirse de forma previa e independiente al sistema informático que se 
pretenda atacar, y ser reutilizado tantas veces como se desee. 

Para protegerse de los ataques de diccionario existen dos estratégias básicas: 


■ Concatenar a cada contraseha un trozo de información aleatorio —denominado 
sal — antes de calcular su signatura, y almacenar en la base de datos tanto la 
signatura como la sal. Esto obligaría a un posible atacante a recalcular todo el 
diccionario cada vez que quisiera averiguar una contraseha, dificultando enor¬ 
memente su tarea. 

■ Escoger contrasenas difíciles de adivinar. Es fundamental, a la hora de seleccio- 
nar las contrasenas de los usuários, que éstas sean lo suficientemente complejas 
como para no aparecer en un diccionario. Para ello es conveniente emplear pro¬ 
gramas específicos de generación de contrasenas, en lugar de confiar en nuestro 
propio ingenio, ya que está demostrado que el ser humano es bastante prede- 
cible. Otra medida bastante recomendable, y que ya incorporan bastantes siste¬ 
mas informáticos, es incorporar rutinas de medición de la calidad de las contra- 
sehas e impedir a los usuários seleccionar contrasenas demasiado débiles. 


Existe no obstante una serie de posibles problemas para un sistema basado en 
contrasenas, independientes de su implementación desde el punto de vista lógico, 
que conviene tener en cuenta: 


■ Si el acceso se lleva a cabo desde un terminal remoto, la contraseha debe enviar- 
se a través de un canal de comunicaciones, por lo que debería emplearse una 
conexión previamente cifrada. 

■ El empleo de un teclado para introducir la palabra secreta puede hacer el sis¬ 
tema susceptible de escuchas. Existen estúdios que demuestran que a través de 
las radiaciones electromagnéticas de un teclado cualquiera, e incluso dei sim- 
ple sonido de cada tecla, es posible conocer lo que introduce el usuário en la 
consola. 
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■ El modo más seguro de custodiar la contrasena es la propia memória, pero si 
aquella es demasiado compleja, y especialmente si se cambia con frecuencia, 
puede resultar difícil de recordar. En este sentido, hay opiniones para todos los 
gustos: desde los que emplean regias nemotécnicas, hasta aquellos que reco- 
miendan tener anotada la contrasena y custodiaria cuidadosamente. 

Además de estar bien salvaguardadas, cabría seguir las siguientes directrices para 
que nuestras palabras clave puedan considerarse seguras: 

1. Deben permanecer a salvo de terceros. Una contrasena jamás debe ser conocida 
por un extraho, lo cual desaconseja llevarla escrita en algún sitio, o bien obliga 
a custodiar cuidadosamente el lugar donde esté anotada. Existen autores que 
abogan por llevar las contrasehas escritas en una tarjeta, y cuidar de ella como 
de nuestro dinero o las llaves de nuestra casa. 

2. No utilizar la misma clave en diferentes lugares, ya que si uno resulta comprome¬ 
tido, el resto también caerá. Hay aplicaciones que, a partir de una contrasena 
maestra, permiten almacenar todas nuestras contrasehas de uso diário, lo cual 
facilitará sin duda nuestro día a día, permitiéndonos gestionar todas las pala¬ 
bras clave que necesitemos. 

3. Ser lo suficientemente complejas. Una buena contrasena debe constar de al menos 
ocho letras. Pensemos que si empleamos únicamente seis caracteres alfanumé¬ 
ricos (números y letras), tenemos solo unos dos mil millones de posibilidades. 
Teniendo en cuenta que hay programas para PC capaces de probar más de cua- 
renta mil claves en un segundo, una clave de estas características podría ser 
descubierta en menos de quince horas. 

4. Carecer de significado. Una contrasena jamás debe significar nada, puesto que 
entonces aumentará la probabilidad de que aparezca en algún diccionario. Evi¬ 
temos los nombres propios, en especial aquellos que pertenezcan a lugares o 
personajes de ficción. 

5. Ser fáciles de recordar. Si pretendemos memorizar nuestras claves, carecerá de 
sentido emplear contrasehas difíciles de recordar. Para esto podemos seguir re¬ 
gias como que la palabra se pueda pronunciar en voz alta, o que responda a 
algún acrónimo más o menos complejo. En este punto no debemos olvidar que 
hay que evitar a toda costa palabras que signifiquen algo. 

6. Deben ser modificadas con frecuencia. Hemos de partir de la premisa de que toda 
palabra clave será comprometida tarde o temprano, por lo que será muy re- 
comendable que nuestras contrasehas sean cambiadas periodicamente. La fre¬ 
cuencia con la que se produzca el cambio dependerá de la complejidad de las 
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claves y dei nivel de seguridad que se desee alcanzar. Y lo más importante: ante 
cualquier sospecha, cambiar todas las claves. 


17.5.2. Autentificación por Desafio 

Existen muchas aplicaciones en las que un dispositivo electrónico —una tarjeta 
inteligente, por ejemplo— necesita identificarse frente a un sistema informático. Esto 
se puede hacer a través de una clave secreta almacenada en el dispositivo, en alguna 
zona de memória que no pueda ser leída desde el exterior. Como es obvio, en ningún 
caso la clave puede ser enviada en claro en el proceso de autentificación, porque si 
no un atacante que intercepte la comunicación podrá suplantar al dispositivo. Tam- 
bién es necesario que cada proceso de autentificación involucre mensajes totalmente 
distintos, ya que si no el impostor podría memorizar las respuestas dadas por el dis¬ 
positivo y replicarias posteriormente. De hecho, debe construirse el protocolo de tal 
forma que la información que pudiese escuchar un atacante resulte completamente 
inútil. 

Las funciones MAC permiten llevar a cabo de manera sencilla este tipo de autenti- 
ficaciones, denominada autentificación por desafio, y se desarrolla de forma interactiva 
entre el sistema anfitrión y el dispositivo que se autentifica. Consiste en generar una 
clave K, de la cual habrá una copia tanto en el servidor como en el dispositivo (figu¬ 
ra 17.3). Cuando el dispositivo solicita ser identificado, el servidor genera un valor 
aleatorio X y calcula su MAC empleando la clave K. Posteriormente envia el valor 
de X, que será distinto en cada realización dei protocolo, al dispositivo, que realizará 
internamente los mismos cálculos y devolverá el resultado al servidor. Si la respuesta 
recibida por el dispositivo coincide con el valor calculado en el servidor, el proceso 
de autentificación habrá tenido êxito. 

Un ejemplo de este mecanismo lo tenemos en las tarjetas SIM que emplean los 
teléfonos celulares GSM. Dichas tarjetas llevan implementado un algoritmo MAC, 
denominado COMP128, que en principio era secreto, fue reconstruido por la comu- 
nidad cypherpunk a partir de documentos filtrados e ingeniería inversa, y roto en pocos 
dias por criptoanalistas de la Universidad de Berkeley. 

Para que este tipo de protocolos funcione correctamente es necesario que el al¬ 
goritmo MAC sea lo suficientemente bueno, es decir, que a partir de una cantidad 
arbitraria de pares {A", MACk(X)} resulte computacionalmente imposible recuperar 
el valor de K. Este fue precisamente el problema de COMP128, ya que se descubrió 
una forma de recuperar K a partir de unos 100.000 pares {A, MACk(X)}. El ataque 
consistia básicamente en suplantar al servidor y enviar 100.000 valores de X escogi- 
dos cuidadosamente al dispositivo, que devolvia sistemáticamente los valores de la 
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Dispositivo 


Figura 17.3: Esquema de autentificación por desafio. 


función MAC correspondiente para cada uno de ellos. Posteriormente se realizanban 
los cálculos fuera de línea, obteniéndose como resultado el valor de K, suficiente para 
clonar la tarjeta SIM en cuestión. 

También es necesario que los valores de X que se generen en cada realización 
dei algoritmo sean criptográficamente aleatórios, ya que en caso contrario un atacan¬ 
te podría predecir el valor de X para la siguiente realización dei protocolo, luego 
suplantaria al servidor usando ese valor, se pondría en contacto con el dispositivo 
para que éste le devolviera el valor de MACk{X). Con esta información en su poder, 
podría solicitar al servidor ser autentificado, y lograria suplantar con êxito al dispo¬ 
sitivo. 
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Capítulo 18 
PGP 


El nombre PGP responde a las siglas pretty good privacy (privacidad bastante bue- 
na), y se trata de un proyecto iniciado a principios de los 90 por Phil Zimmermann. 
La total ausência por aquel entonces de herramientas sencillas, potentes y baratas que 
acercaran la criptografia seria al usuário movió a su autor a desarrollar una aplicación 
que llenara este hueco. 

Con el paso de los anos, PGP se ha convertido en uno de los mecanismos más 
populares y fiables para mantener la seguridad y privacidad en las comunicaciones, 
especialmente a través dei correo electrónico, tanto para pequenos usuários como 
para grandes empresas. 

Actualmente PGP se ha convertido en un estándar internacional (RFC 2440), lo 
cual está dando lugar a la aparición de múltiples productos PGP, que permiten desde 
cifrar correo electrónico hasta codificar particiones enteras dei disco duro (PGPDisk), 
pasando por la codificación automática y transparente de todo el tráfico TCP/IP 
(PGPnet). 


18.1. Fundamentos e Historia de PGP 


PGP trabaja con criptografia asimétrica, y por ello tal vez su punto más fuerte 
sea precisamente la gran facilidad que ofrece al usuário a la hora de gestionar sus 
claves públicas y privadas. Si uno emplea algoritmos asimétricos, debe poseer las 
claves públicas de todos sus interlocutores, además de la clave privada propia. Con 
PGP surge el concepto de anillo de claves (o llavero), que no es ni más ni menos que el 
lugar que este programa proporciona para que el usuário guarde todas las claves que 
posee. El anillo de claves es un único fichero en el que se pueden efectuar operaciones 
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de extracción e inserción de claves de manera sencilla, y que además proporciona un 
mecanismo de identificación y autentificación de llaves completo y simple de utilizar. 
Esta facilidad en la gestión de claves es una de las causas fundamentales que han 
hecho a PGP tan popular. 

La historia de PGP se remonta a comienzos de los anos 90. La primera versión era 
completamente diferente a los PGP posteriores, además de ser incompatible con és- 
tos. La familia de versiones 2.x.x fue la que alcanzó una mayor popularidad, y sigue 
siendo utilizada por mucha gente en la actualidad. Los PGP 2.x.x emplean únicamen¬ 
te los algoritmos IDEA, RS A y MD5. 

En algún momento una versión de PGP atravesó las fronteras de EE.UU. y na- 
ció la primera versión internacional de PGP, denominada PGPi, lo que le supuso a 
Phil Zimmermann una investigación de más de tres anos por parte dei PBI, ya que 
supuestamente se habían violado las restrictivas leyes de exportación de material 
criptográfico que poseen los Estados Unidos. Para la versión 5 de PGP se subsanó 
este problema exportando una versión impresa dei código fuente, que luego era re¬ 
construída y compilada en Europa (más información en http : / /www. pgpi . com). 

Hasta principios de 2001 la política de distribución de PGP consistió en permitir 
su uso gratuito para usos no comerciales y en publicar el código fuente en su integri- 
dad, con el objetivo de satisfacer a los desconfiados y a los curiosos. Sin embargo, con 
el abandono de la empresa por parte de Zimmermann, en febrero de 2001, el código 
fuente dejó de publicarse. En la actualidad (finales de 2004), la empresa que gestiona 
los productos PGP (PGP Corporation), ha vuelto a publicar el código fuente de los 
mismos. 

Paralelamente a la azarosa existência empresarial de PGP, el proyecto GNU ha 
estado desarrollando su propia aplicación de código abierto compatible con el RFC 
2440, denominada GnuPG, y que solo emplea algoritmos libres de patentes. 


18.2. Estructura de PGP 

18.2.1. Codificación de Mensajes 

Como el lector ya sabe, los algoritmos simétricos de cifrado son considerable- 
mente más rápidos que los asimétricos. Por esta razón PGP cifra primero el mensaje 
empleando un algoritmo simétrico (ver figura 18.1) con una clave generada aleato¬ 
riamente (clave de sesión ) y posteriormente codifica la clave haciendo uso de la llave 
pública dei destinatário. Dicha clave es extraída convenientemente dei anillo de cla¬ 
ves públicas a partir dei identificador suministrado por el usuário, todo ello de forma 
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transparente, por lo que únicamente debemos preocupamos de indicar el mensaje a 
codificar y la lista de identificadores de los destinatários. Nótese que para que el 
mensaje pueda ser leído por múltiples destinatários basta con que se incluya en la 
cabecera la clave de sesión codificada con cada una de las claves públicas correspon- 
dientes. 

Cuando se trata de decodificar el mensaje, PGP simplemente busca en la cabecera 
las claves públicas con las que está codificado y nos pide una contrasena. La con- 
trasena servirá para que PGP abra nuestro anillo de claves privadas y compruebe si 
tenemos una clave que permita decodificar el mensaje. En caso afirmativo, PGP des- 
cifrará el mensaje. Nótese que siempre que queramos hacer uso de una clave privada, 
habremos de suministrar a PGP la contrasena correspondiente, por lo que si el anillo 
de claves privadas quedara comprometido, un atacante aún tendría que averiguar 
nuestra contrasena para descifrar nuestros mensajes. No obstante, si nuestro archivo 
de claves privadas cayera en malas manos, lo mejor será revocar todas las claves que 
tuviera almacenadas y generar otras nuevas. 

Como puede comprenderse, gran parte de la seguridad de PGP reside en la cali- 
dad dei generador aleatorio que se emplea para calcular las claves de sesión, puesto 
que si alguien logra predecir la secuencia de claves que estamos usando, podrá des¬ 
cifrar todos nuestros mensajes independientemente de los destinatários a los que va- 
yan dirigidos. Afortunadamente, PGP utiliza un método de generación de números 
pseudoaleatorios muy seguro —una secuencia aleatória pura es imposible de con¬ 
seguir, como se dijo en el capítulo 8 —, y protege criptográficamente la semilla que 
necesita 1 . No obstante, consideraremos sensible al fichero que contiene dicha semi¬ 
lla —normalmente RANDSEED . BIN —, y por lo tanto habremos de evitar que quede 
expuesto. 


18.2.2. Firma Digital 

En lo que se refiere a la firma digital, las primeras versiones de PGP obtienen en 
primer lugar la signatura MD5 (ver sección 13.4), que posteriormente se codifica em- 
pleando la clave privada RSA correspondiente. Versiones más modernas implemen- 
tan el algoritmo DSS, que emplea la función resumen SHA-1 y el algoritmo asimétrico 
DSA (secciones 12.4.4 y 13.5). 

La firma digital o signatura puede ser ahadida al fichero u obtenida en otro fichero 
aparte. Esta opción es muy útil si queremos firmar un fichero ejecutable, por ejemplo. 


Algunas implementaciones de PGP emplean otras fuentes de aleatoriedad, como ocurre con 
GnuPG, por lo que no necesitan almacenar una semilla aleatória. 
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Figura 18.1: Codificación de un mensaje PGP 


18.2.3. Armaduras ASCII 

Una de las funcionalidades más útiles de PGP consiste en la posibilidad de gene- 
rar una armadura ASCII para cualquiera de sus salidas. Obviamente, todas las salidas 
de PGP (mensajes codificados, claves públicas extraídas de algún anillo, firmas digi- 
tales, etc.) consisten en secuencias binarias, que pueden ser almacenadas en archivos. 
Sin embargo, en la mayoría de los casos puede interesarnos enviar la información 
mediante correo electrónico, o almacenarla en archivos de texto. 

Recordemos que el código ASCII original emplea 7 bits para codificar cada letra, lo 
cual quiere decir que los caracteres situados por encima dei valor ASCII 127 no están 
definidos, y de hecho diferentes computadoras y sistemas operativos los interpretan 
de manera distinta. También hay que tener en cuenta que entre los 128 caracteres 
ASCII se encuentran muchos que representan códigos de control, como el retorno de 
carro, el fin de fichero, el fabulador, etc. La idea es elegir 64 caracteres imprimibles (que 
no sean de control) dentro de esos 128. Con este conjunto de códigos ASCII podremos 
representar exactamente 6 bits, por lo que una secuencia de tres bytes (24 bits) podrá 
codificarse mediante cuatro de estos caracteres. Esta cadena de símbolos resultante 
se trocea colocando en cada línea un número razonable de símbolos, por ejemplo 72. 
El resultado es una secuencia de caracteres que pueden ser tratados como texto es- 
tándar, además de ser manipulados en cualquier editor. Existe la ventaja adicional de 
que esta representación es apropiada para ser enviada por correo electrónico, ya que 
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muchas pasarelas de correo no admiten caracteres por encima de 127, y además trun- 
can las líneas demasiado largas, por lo que podrían alterar los mensajes si viajarem en 
otro formato. 

Como ejemplo incluyo mi clave pública PGP —firmada con la de Kriptópolis— 
en formato ASCII: 

-BEGIN PGP PUBLIC KEY BLOCK- 

Version: GnuPG vl.4.9 (GNU/Linux) 

mQGiBDRkk6kRBADKYHrNnFeXlggr14IVGy6FudLG2Cdlwb3yKOaNnodyj Za0a5oi 
Ls 9 jDfDfEdq8K+W6QBLvO 6w7oVFPNMYsU+ufb0pa/bHWq6IrHxKkTVH4o4PUYTmH 
WOjfGjoXEtAUZ0vp9wYR0Yqi7wXO3L/N5KuVNjLj7rXOT7rOmHsOjmYlcQCg//2w 
OcyAnkaDCODFNif/VdowntcD/j 5midszzU6M7BWmeDJoqEEGzSuxfmRSNyNZeô/6 
5k8TFXIVpBOvnxwsZShOPOSlNgzlcmX6VbEmmUXoYsMRfq7iXHSAZ3DLB333yR2b 
QUbkrH5WZF7 5G2vvT07 rKS5KtmR0J8E+vX/py6PGz1f3tBZJ94KwM7 87g6j43F4X 
IYTAA/9L5GZzClHOGt01BtZk±oH5YoHnDGHKC8mMXcykXA5KdJvl + 9 jGz3InUHiG 
04StaMxMcDcWLzL5FVLz3LBzlOXGs7 jikgH3BYBI3p7dIExfRADucDHyKL/CpI15 
zqHBI + 5bxY3Tysu3UlAlUkQloJMsSInlkkjQhwihNYs j 8Avr9LQmTWFudWVsIExl 
Y2VuYSBMb3BleiA8bWxlY2VuYUBlamFlbi51cz 6IXwQTEQIAIAIXgAIZAQUCScPL 
PAYLCQgHAwIEFQIIAwQWAgMBAh4BAAoJEEiyUWFpqleE8iOAmPtKiqRykOhhSddO 
eErIiEsC0o8An3BGAqEiXHCIGkD j zWKtuG8ko jKBtClNYW51ZWwgTHV j ZW5hIExv 
cGV6IDxtYW5vbG8ubHVjZW5hQGdtYWlsLmNvbT6IYAQTEQIAIAIbAwIeAQIXgAUC 
ScPLTAYLCQgHAwIEFQIIAwQWAgMBAAoJEEiyUWFpqleEsBMAnlERLe/GIh2X0GqU 
v6G6sgLBvD+UAJOYLBWgKf7 fIVGXpDISltU9ZrmEz7QsTWFudWVsIExlY2VuYSBM 
b3BleiA8bWxlY2VuYUBhcG9sby5lamFlbi51cz 6ISQQwEQIACQUCQnNG3AIdIAAK 
CRBIslFhaatXhluJAKCcWHs5Ss 6J2FBTu/P9rpllBGLNcQCgqOYlTAZ+HsdlOFMj 
fvlSfHBymYC0LUlhbnVlbCBMdWNlbmEgTG9wZXogPGlsdWNlbmFAa3JpcHRvcG9s 
aXMuY2 9tPohJBDARAgAJBQJCcObJAhOgAAoJEEiyUWFpqleEaGkAn3MNGfcEOxnA 
Nw+XObqX9rNaDyWpAKCEtCwFgtwvUJxJblN3y1J+a4 OvSrkCDQQOZJRfEAgAw/iG 
bTW90aTyfV4RNZdglHRDGEyasZdEPCM9ihPkfvQyK44nH130seaikIYoyoA/BFiW 
eTNcHvb/4KOuCK2GnO/p/6ohFcAOK5anEygGrhUUttUw8kYZOrUBFIJnurtDcxwa 
wugbPFv3qA+sn7 5 6q7XUxjnTtpou+lWyj6VkN/EvrZDf 9E7ikPUqRuIsHzJ5PUwy 
pWtXaKg2HfClKkZlYFqzdPDCssrXOf j ZDx2q6GSek6Sgj 5Ph3X4opoXIx6Cfmp4E 
LYmvdmnDu4oe6A61/XIQ8NNhj+GxdtOgTq8QKDRW12f6M3pQgPnYzBHoDIqnr/ie 
8 jK4seDezRPtLl/TlQACAgf+JXw03QlopLBAaO/WZlcs2SiEzqv+gCkFW9vk2bJb 
SY4PQHwiLcOHwcPEDi7 jIu9QxJfZcHkax8XgXkCvfFJFFmqgqarlOzXp/BgiYyma 
6GVAmXcI61I9ZSgzPvvaNFGe0/7R6Yroee7nJ/9RyxF89SI++5tZY+/bpLuKAbnX 
9SA3PEnUWiHD2ah3cC3VXNrus31sKA7MEh3q9xnoF/8Z7vwldrKUyLZdaDqSM7is 
yI5FeOPWn/mtW4+7/rjboaY7PGJCAqtn8cHDvByRYCZ8kLRlobQHzL8XNlfsdfBv 
6WDNeS 9IqBCXcPME7R2lwytsi2WMDnYL7rQWU/CgLqFx2Ig/AwUYNGSUXOiyUWFp 
qleEEQL3JACfTfvh6A7 0A9N2SbnRBmktuRBp9NsAn2 ZQbpgOeaeVRuze jA2QM7ld 
rz53 
= r7oL 
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-END PGP PUBLIC KEY BLOCK- 

Como puede verse, los únicos símbolos empleados son las letras mayúsculas y 
minúsculas, los números, y los signos V'y el resto de símbolos y caracteres de 
control simplemente será ignorado. Cualquiera podría copiar esta clave pública a 
mano (j!) o emplear una aplicación OCR 2 para introducirla en su anillo de claves 
correspondiente, aunque es mejor descargarla a través de Internet. 


18.2.4. Gestión de Claves 

PGP, como ya se ha dicho, almacena las claves en unas estructuras denominadas 
anillos. Un anillo no es más que una colección de claves, almacenadas en un fichero. 
Cada usuário tendrá dos anillos, uno para las claves públicas (PUBRING. PKR) y otro 
para las privadas (SECRING. SKR). 

Cada una de las claves, además de la secuencia binaria correspondiente para el 
algoritmo concreto donde se emplee, posee una serie de datos, como son el identifi¬ 
cador dei usuário que la emitió, la fecha de expiración, la versión de PGP con que fue 
generada, y la denominada huella digital (fingerprint ). Este último campo es bastante 
útil, pues se trata de una secuencia hexadecimal lo suficientemente larga como para 
que sea única, y lo suficientemente corta como para que pueda ser escrita en un pa¬ 
pel, o leída de viva voz. La huella digital se emplea para asegurar la autenticidad de 
una clave. Por ejemplo, la huella digital de la clave pública anterior es: 

9E2B 9D14 CBCE FE12 16A8 C103 48B2 5161 69AB 5784 

Si alguien quisiera asegurarse de la autenticidad de dicha clave, bastaria con que 
llamara por teléfono al autor, y le pidiera que le leyera su huella digital. Afortunada¬ 
mente, las últimas implementaciones de PGP permiten convertir esta cadena hexa¬ 
decimal en una secuencia de palabras fácilmente legibles por teléfono. 


18.2.5. Distribución de Claves y Redes de Confianza 

PGP, como cualquier sistema basado en clave pública, es susceptible a ataques de 
intermediário (sección 12.2). Esto nos obliga a establecer mecanismos para asegurar- 
nos de que una clave procede realmente de quien nosotros creemos. Una de las cosas 
que permite esto, aunque no la única, es la huella digital. 

2 OCR: Optical Character Recognition, reconocimiento óptico de caracteres. Permite convertir texto 
escrito a formato electrónico. 
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PGP permite a un usuário firmar claves, y de esta forma podremos confiar en la 
autenticidad de una clave siempre que ésta venga firmada por una persona de con- 
fianza. Hay que distinguir entonces dos tipos de confianza: aquella que nos permite 
creer en la validez de una clave, y aquella que nos permite fiamos de una persona 
como certificador de claves. La primera se puede calcular automáticamente, en fun- 
ción de que las firmas que contenga una clave pertenezcan a personas de confianza, 
pero la segunda ha de ser establecida manualmente. No olvidemos que el hecho de 
que una clave sea autêntica no nos dice nada acerca de la persona que la emitió. Por 
ejemplo, yo puedo tener la seguridad de que una clave pertenece a una persona, pero 
esa persona puede dedicarse a firmar todas las claves que le llegan, sin asegurarse de 
su autenticidad, por lo que en ningún caso merecerá nuestra confianza. 

Cuando una clave queda comprometida, puede ser revocada por su autor. Para 
ello basta con generar y distribuir un certificado de revocación que informará a todos los 
usuários de que esa clave ya no es válida. Para generarlo es necesaria la clave priva¬ 
da, por lo que en muchos casos se recomienda generar con cada clave su certificado 
de revocación y guardarlo en lugar seguro, de forma que si perdemos la clave priva¬ 
da podamos revocarla de todas formas. Afortunadamente, las últimas versiones de 
PGP permiten nombrar revocadores de claves, que son usuários capaces de invalidar 
nuestra propia clave, sin hacer uso de la llave privada. 


18.2.6. Otros PGP 


La rápida popularización de PGP entre ciertos sectores de la comunidad de Inter¬ 
net, y el desarrollo dei estándar público Open PGP, han hecho posible la proliferación 
de variantes más o menos complejas dei programa de Zimmermann. Muchas de ellas 
son desarrolladas por los propios usuários, para mejorar alguna característica, como 
manejar claves de mayor longitud (PGPg), y otras corresponden a aplicaciones de 
tipo comercial. 

Especial mención merece la implementación de Open PGP que está llevando a 
cabo el proyecto GNU: GnuPG (GNU Privacy Giiard), que funciona en múl tiples pla¬ 
taformas, y emplea únicamente algoritmos de libre distribución —entre ellos AES—, 
aunque presenta una estructura que la hace fácilmente extensible. De hecho, hoy por 
hoy, podríamos decir que es la implementación de PGP más completa, segura y útil 
para cualquier usuário. 
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18.3. Vulnerabilidades de PGP 

Según todo lo dicho hasta ahora, parece claro que PGP proporciona un nivel de 
seguridad que nada tiene que envidiar a cualquier otro sistema criptográfico jamás 
desarrollado. ,;Qué sentido tiene, pues, hablar de sus vulnerabilidades, si éstas parecen 
no existir? 

Como cualquier herramienta, PGP proporcionará un gran rendimiento si se em- 
plea correctamente, pero su uso inadecuado podría convertido en una protección 
totalmente inútil. Es por ello que parece interesante llevar a cabo una pequena reca- 
pitulación acerca de las buenas costumbres que harán de PGP nuestro mejor aliado. 

■ Escoger contrasenas adecuadas. Todo lo comentado en la sección 17.5.1 es válido 
para PGP. 

■ Proteger adecuadamente los archivos sensibles. Estos archivos serán, lógicamente, 
nuestros llaveros (anillos de claves) y el fichero que alberga la semilla aleatória. 
Esta protección debe llevarse a cabo tanto frente al acceso de posibles curio¬ 
sos, como frente a una posible pérdida de los datos (jrecuerde que si pierde el 
archivo con su clave privada no podrá descifrar jamás ningún mensaje!). 

■ Emitir revocaciones de nuestras claves al generarlas y guardarias en lugar seguro. 
Serán el único mecanismo válido para revocar una clave en caso de pérdida dei 
anillo privado. Afortunadamente, la versión 6 de PGP permite nombrar revoca- 
dores para nuestras claves, de forma que éstos podrán invalidaria en cualquier 
momento sin necesidad de nuestra clave privada. 

■ Firmar sólo las claves de cuya autenticidad esternos seguros. Es la única manera de 
que las redes de confianza puedan funcionar, ya que si todos firmáramos las 
claves alegremente, podríamos estar certificando claves falsas. 

Al margen de un uso correcto, que es fundamental, debemos mencionar que úl¬ 
timamente han sido detectados algunos fallos en las diversas implementaciones de 
PGP. Clasificaremos dichas vulnerabilidades en dos grupos claramente diferencia¬ 
dos: 


■ Debidas a la implementación : Estos agujeros de seguridad son provocados por 
una implementación defectuosa de PGP, y corresponden a versiones concretas 
dei programa. Por ejemplo, el fallo descubierto en la versión 5.0 de PGP para 
UNIX, que hacía que las claves de sesión no fueran completamente aleatórias, 
o el encontrado en todas las versiones para Windows, desde la 5.0 a la 7.0.4, 


Manuel J. Lucena López 


Criptografia y Seguridad en Computadores 




18.3. Vulnerabilidades de PGP 


251 


en la que un inadecuado procesamiento de las armaduras ASCII permitia a un 
atacante introducir ficheros en la computadora de la víctima. 

■ Intrínsecas al protocolo: En este apartado habría que resenar aquellos agujeros de 
seguridad que son inherentes a la definición dei estándar Open PGP. En este 
sentido, a principios de 2001 se hizo pública una técnica que permitia a un ata¬ 
cante falsificar firmas digitales. En cualquier caso, se necesita acceso físico a la 
computadora de la víctima para manipular su clave privada, por lo que el fallo 
carece de interés práctico. 
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Capítulo 19 

Introducción a la Seguridad 
Informática 


El término seguridad, dei latín securitas, viene definido en el Diccionario de la Real 
Academia como "Cualidad de seguro". En cuanto al término seguro, la definición es 
inequívoca: "Libre y exento de todo peligro, dano o riesgo Podemos entender que, en 
general, una entidad es segura si se comporta como se espera de ella, sin que tengan 
lugar sucesos considerados anormales. 

Puesto que el propósito de los computadores no es otro que el de almacenar, pro- 
cesar y transmitir información, consideraremos que un sistema informático es seguro 
si maneja de forma correcta la información. Cabría entonces preguntarse cuáles son 
las condiciones que debe cumplir la información para que podamos determinar su 
calidad para, en un paso posterior, determinar qué podemos hacer para garantizarla. 

Los sistemas informáticos incorporan medidas para garantizar su seguridad prác- 
ticamente a todos los niveles, desde el hardware hasta los interfaces de usuário, pasan- 
do por todas las capas dei Sistema Operativo, los elementos dedicados a comunica- 
ciones, etc. Dedicaremos esta sección dei libro a concretar y formalizar todos estos 
conceptos. 


19.1. Propiedades de la Información 

Hay ciertas cosas que un sistema que maneja información no puede permitirse. 
Por ejemplo, resultaria inaceptable que los datos que introducimos en el mismo su- 
frieran alteraciones cuando vamos a recuperados, o que fuera posible para terceros 
acceder a la información sin permiso. En general, se definen tres propiedades de la 
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información fundamentales que deben garantizar los sistemas informáticos: confi- 
dencialidad, integridad y disponibilidad. 


Confidencialidad 

Décimos que una información posee la característica de confidencialidad si sólo 
pueden tener acceso a la misma las entidades que están autorizadas para ello. Gran 
parte de la información que hoy día manejan nuestros sistemas informáticos perdería 
su valor si se hiciera pública —estratégias de empresas, secretos industriales, etc.—> 
mientras que en otros casos su revelación seria sencillamente inaceptable —expedien¬ 
tes médicos, información acerca de orientaciones políticas, religiosas o sexuales de un 
individuo, etc.—. 

Como el lector ya habrá advertido, no es lo mismo salvaguardar la confidenciali¬ 
dad en un ordenador personal, con un acceso limitado al exterior, que en un sistema 
compuesto por múltiples computadoras interconectadas, y posiblemente dispersas 
geográficamente. 


Integridad 

La integridad garantiza que los datos almacenados en nuestro sistema —o los colo¬ 
camos en un extremo de un canal de comunicaciones—, van a ser exactamente iguales 
cuando los recuperemos —o al llegar al otro extremo dei canal—. Es fácil imaginar 
situaciones en las que una información corrompida o manipulada puede llegar a ser 
altamente danina. 

Para garantizar la integridad se emplean desde mecanismos de bajo nivel, que evi- 
tan que los datos se pierdan o se corrompan accidentalmente —discos duros RAID, 
sistemas de alimentación ininterrumpida—, hasta mecanismos basados en funciones 
resumen (capítulo 13), códigos CRC, o firmas digitales (capítulo 17). 

Existen principalmente dos familias de técnicas orientadas a la integridad. La pri- 
mera de ellas busca evitar que se produzcan alteraciones en los datos, mientras que 
la segunda tiene como objetivo la detección —y eventual corrección— de dichas alte¬ 
raciones. 


Disponibilidad 

La información suele alcanzar su verdadero valor cuando se utiliza. En muchos 
casos, es crucial poder emplearla en el momento oportuno, por lo que un buen siste- 
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ma de información tendrá que proporcionar una adecuada flexibilidad a la hora de 
acceder a los datos. A la capacidad de tener acceso a la información en todo momento 
la denominaremos disponibilidad. 

En cierto modo, facilitar la disponibilidad puede poner en riesgo la confidenciali- 
dad y viceversa, por lo que las tres características que acabamos de describir han de 
ser tenidas en cuenta de forma global a la hora de disenar un sistema de información 
seguro. 


19.2. Problemas de los Sistemas de Información 


Cualquier situación en la vida está sujeta a posibles situaciones no deseadas. En 
particular, todos los sistemas de información están sujetos a la posibilidad de ex¬ 
perimentar un funcionamiento anómalo, ya sea de manera fortuita o provocada. El 
objetivo de la Seguridad Informática consistirá en evitar que se produzcan esas si¬ 
tuaciones. Para ello se tomarán medidas a todos los niveles: diseno, implementación, 
políticas de uso, monitorización, análisis, etc. 

Con objeto de enfrentamos más eficazmente a ellos, definiremos de una manera 
algo más formal esos fallos en los sistemas informáticos. 


Dano 

Definiremos como dano el perjuicio que se produce cuando un sistema informá¬ 
tico falia. Dicho perjuicio debe de ser cuantificable: el coste económico de los datos 
perdidos, el tiempo y esfuerzo necesarios para volver al estado normal, etc. El dano 
puede ser provocado, o producirse de manera accidental. 


Ataque 

Un ataque es el acto deliberado de intentar provocar un dano concreto en un sis¬ 
tema. Los ataques constituyen una de las mayores amenazas a la seguridad infor¬ 
mática, ya que pueden llegar a ser extremadamente sofisticados. Sin embargo, nunca 
debemos desestimar las situaciones de dano producidas de manera fortuita —fallos 
en el hardware, cortes en el suministro eléctrico, desastres naturales, etc.—. 
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Riesgo 

Una vez que hemos definido el concepto de dano, nuestro objetivo será proteger 
el sistema frente al mayor número posible de situaciones de este tipo. Sin embargo, la 
cantidad de recursos que podremos asignar a esta tarea estará siempre limitada, por 
lo que a la hora de priorizar nuestro trabajo tendremos que medir de alguna manera 
el peligro asociado a cada situación de dano. 

Definiremos el riesgo (R) como el producto entre la magnitud de un dano (d), y la 
probabilidad de que éste tenga lugar (p d ): 

R = d-p d (19.1) 

A la vista de esta definición, es fácil observar que una situación con un elevado 
nivel de dano, pero muy poco probable, puede suponer menor riesgo —y, por tanto, 
merecer menos atención— que una situación con un nivel de dano moderado, pero 
mucho más probable. Siempre y cuando hagamos una buena estimación de los danos 
y las probabilidades de que se produzcan, obtendremos unos valores de riesgo útiles. 


Amenaza 

Entendemos por amenaza aquella situación de dano cuyo riesgo de producirse es 
significativo. Puesto que el valor de riesgo R tiene un carácter relativo, será nuestra 
tarea definir un umbral a partir dei cual consideraremos que un riesgo merece la pena 
ser tenido en cuenta, o lo que es lo mismo, constituye una amenaza. 


Vulnerabilidad 

Una vulnerabilidad es una deficiência en un sistema susceptible de producir un 
fallo en el mismo. Como puede observarse, existen vulnerabilidades de todo tipo, ya 
que ningún sistema es perfecto. No obstante, y a efectos prácticos, sólo tendremos 
en consideración aquellas vulnerabilidades que constituyen una amenaza. Nuestro 
objetivo será, por tanto, conocer y eliminar —o al menos mitigar— el mayor número 
posible de vulnerabilidades en nuestros sistemas. 


Exploit 

Llamaremos exploit a cualquier técnica que permita aprovechar una vulnerabi¬ 
lidad de un sistema para producir un dano en el mismo. Usualmente, los exploits 
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son publicados como prueba de concepto, para demostrar que una vulnerabilidad 
es capaz de dar lugar a un dano determinado. De hecho, es muy habitual encontrar 
vulnerabilidades potenciales en los sistemas, que aunque pueden suponer un riesgo, 
en realidad se desconoce si son realmente útiles para perpetrar un ataque. 


Black Hats versus White Hats 

Habitualmente, a las personas que buscan vulnerabilidades en los sistemas, así 
como métodos de ataque para aprovecharlas, se les suele denominar genéricamente 
hackers. Sin embargo, esta actividad puede realizarse con dos enfoques bien distin¬ 
tos: buscar formas para hacer realmente dano a los sistemas, sin prestar atención a 
(o buscando deliberadamente) que sus descubrimientos puedan usarse para delin- 
quir —robos, ciberterrorismo, espionaje, etc.—, o bien mejorar los propios sistemas de 
seguridad. A los primeros se les llama black hats, mientras que a los segundos se les 
conoce como white hats. Si bien la actividad de los white hats resulta positiva e incluso 
necesaria para la sociedad, en ocasiones la línea divisória entre ambas comunidades 
resulta demasiado difusa. 


19.2.1. Identificación Unívoca de Vulnerabilidades 

Los CVE (Common Vulnerabilities and Exposures) proporcionan un método para 
construir un identificador único, reconocido internacionalmente, para todas las vul¬ 
nerabilidades que se detectan en los productos softzvare. 

Un CVE posee los siguientes elementos: 


■ Un código numérico compuesto por el ano y un número asignado por la CNA 
(Candidate Numbering Authority). Por ejemplo, CVE-2010-0038. 


■ El estado: candidato (candidate) si se encuentra en proceso de de revisión, o en¬ 
trada (entry) si ya ha sido admitido oficialmente. 


■ Una descripción dei problema. 


■ Una lista de referencias. 
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19.3. Tipos de Vulnerabilidades 

Puesto que cualquier deficiência en un sistema puede dar lugar a fallos, podre- 
mos hablar de vulnerabilidades en la práctica totalidad de los niveles de un sistema 
informático. Así, podemos hablar de vulnerabilidades: 

■ Debidas al diseno : Suelen ser las más delicadas, ya que su corrección puede tener 
impacto a todos los niveles, complicando el sistema y aumentando los costes de 
manera inaceptable, o incluso pueden resultar imposibles de eliminar. Por esta 
razón es esencial que los temas de seguridad sean tenidos en cuenta a la hora 
de disenar un sistema informático. 

Pensemos, por ejemplo, en un sistema operativo disenado sin tener en cuenta la 
posibilidad de existência de múltiples usuários. Esto da en la práctica unos pri¬ 
vilégios excesivos de uso, al no separar las tareas administrativas —que pueden 
ser potencialmente daninas si se realizan mal o de manera maliciosa— de las 
actividades diarias, lo cual representa una clara vulnerabilidad. Lo ideal seria 
modificar el diseno para incorporar esta característica, pero eso probablemente 
hará que muchos programas escritos para el sistema antiguo dejen de funcionar. 

■ Debidas a la implementación : Todos los programas tienen fallos, debidos a un có¬ 
digo fuente incorrecto, a una mala utilización de las características dei com¬ 
pilador, a una comprensión deficiente de las especificaciones, etc. Este tipo de 
errores es, con mucho, la mayor fuente de vulnerabilidades en los productos 
informáticos actuales, por lo que todo administrador deberá conocerlos en la 
medida de lo posible. Asimismo, los programadores deben seguir una serie de 
directrices básicas para evitados a la hora de escribir código. 

Aunque suele tenerse menos en cuenta, debido a la altísima fiabilidad de los 
componentes físicos actuales, la configuración de hardware escogida para un 
sistema también forma parte de su implementación, y puede dar lugar a la apa- 
rición de determinadas vulnerabilidades. 

■ Debidas al uso : De nada sirve tener el mejor sistema de contrasenas dei mundo 
si luego anotamos nuestra palabra clave en un papelito y lo pegamos al moni¬ 
tor con cinta adhesiva. Aunque suele dejarse de lado en demasiados casos, las 
condiciones concretas y los protocolos específicos de utilización de cualquier 
sistema informático deben ser disenados cuidadosamente por un lado, y segui¬ 
dos escrupulosamente por otro. En caso contrario, un sistema bien disenado e 
implementado puede volverse dei todo inseguro. 

Otra situación muy común, especialmente en el softzvare comercial, es la inclu- 
sión, en aras de la usabilidad, de opciones y configuraciones inseguras por defec- 
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to. Una instalación apresurada o poco cuidadosa dei sistema puede por lo tanto 
dar lugar a una configuración claramente vulnerable. 


19.4. Detección de Vulnerabilidades 


Parece claro que un administrador de seguridad debe conocer las vulnerabilida¬ 
des de su sistema. Sin embargo, la elevada complejidad de los sistemas actuales, uni¬ 
da al hecho de que normalmente ninguno o casi ninguno de sus componentes sue- 
le haber sido disenado e implementado por el propio administrador, hace dei todo 
imposible dedicar el tiempo necesario a analizar el sistema para conocer todas sus 
vulnerabilidades. Por lo tanto, será necesario adoptar una serie de estratégias para 
que no se nos escape ninguna vulnerabilidad: 


■ Listas bugtraq: Existen múltiples listas de distribución especializadas en la pu- 
blicación de las vulnerabilidades que se van descubriendo en todo tipo de soft¬ 
ware. Junto con cada vulnerabilidad, suele indicarse también cuál es la forma de 
protegerse de ella. 

■ Sistemas automáticos de anâlisis : En general, los métodos automáticos de identi- 
ficación de vulnerabilidades, se basan en dos aproximaciones fundamentales, 
en función de si conocemos o no la vulnerabilidad en cuestión que queremos 
detectar: 

• Para el primer caso existen programas, llamados escáneres, que analizan 
sistemas en en ejecución en busca de una batería de vulnerabilidades co- 
nocidas. En muchos casos, los propios tests pueden ser potencialmente da- 
ninos, por lo que deben emplearse con cuidado. 

• Las Redes Trampa están disenadas servir de senuelo frente a posibles intru¬ 
sos. El objetivo es que sea el propio atacante el que lanze el exploit, que 
quedará registrado en el sistema trampa, para su posterior anâlisis y estú¬ 
dio. 

• Auditoria automática de código. Es un hecho conocido que un gran porcentaje 
de las vulnerabilidades en muchos sistemas provienen de errores comunes 
a la hora de escribir el código fuente (verificación incorrecta de los limites 
de los arrays, uso inadecuado de punteros, etc.), por lo que poco a poco van 
surgiendo herramientas específicas que detectan estas deficiências. 
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Figura 19.1: Fases de la ventana de exposición 


19.5. La Ventana de Exposición 


Es un hecho conocido que todos los sistemas tienen vulnerabilidades. El descono- 
cimiento de su existência no implica seguridad, pero en el caso de vulnerabilidades 
susceptibles de ser aprovechadas para practicar un ataque, parece claro que si nadie 
conoce su existência, no van a ser aprovechadas contra nuestro sistema. 

En cualquier caso, un hecho es claro: si nosotros detectamos una vulnerabilidad 
en nuestro sistema, nada nos asegura que nadie más lo haya hecho, por lo que a partir 
de ese momento debemos considerar que el sistema está expuesto. 

Llamamos ventana de exposición al espacio de tiempo que transcurre desde que 
se detecta una vulnerabilidad, hasta que la misma es corregida. A la vista de esta 
definición, parece claro que lo único que podemos conocer con certeza acerca de una 
ventana de exposición es el momento en el que la misma se cierra. 

Desde que se considera abierta, la ventana de exposición atraviesa por diversas 
fases (figura 19.1): 
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■ Descubrimiento: La vulnerabilidad es detectada. A partir de ese momento, sa¬ 
bemos que el sistema está expuesto. 

■ Anuncio: La vulnerabilidad es publicada, por lo que el riesgo aumenta, ya que 
crece el número de personas que la conocen. 

■ Popularización: Si la vulnerabilidad es explotable, será empleada cada vez por 
más gente para provocar danos. 

■ Liberación dei parche: El fabricante publica una nueva versión dei softzvare, o 
las modificaciones precisas que hay que hacer en el mismo para eliminar la 
vulnerabilidad. 

■ Instalación dei parche por parte de los usuários: Es evidente que si, aunque se 
conozca la solución, los usuários no la aplican, sus sistemas seguirán estando 
expuestos. Afortunadamente, la mayor parte de los productos softzvare actua- 
les proporcionan mecanismos automáticos para instalar los parches de forma 
rápida y sencilla. 

Está muy claro que el propósito de cualquier administrador de seguridad consis¬ 
tirá en minimizar el tamano de las ventanas de exposición de su sistema. Para ello 
deberá conocer las vulnerabilidades dei mismo y eliminarias cuanto antes. En la in- 
mensa mayoría de los casos, el sistema administrado estará integrado por una serie 
de componentes físicos (harázvare) y lógicos (softzvare), fabricados por terceros. Si se 
trata de empresas serias, ellas mismas suministrarán periodicamente informes sobre 
las últimas vulnerabilidades detectadas en sus productos, así como instrucciones pa¬ 
ra eliminarias o minimizar su impacto. Sin embargo, las estratégias adoptadas a la 
hora de proporcionar este servicio suelen ser muy variopintas. Aunque lo que vamos 
a comentar puede aplicarse tanto al hardzvare como al softzvare, nos centraremos en el 
segundo caso: 

■ Revelación total (full disclosure): Consiste en publicar las vulnerabilidades en 
cuanto son descubiertas. Si el descubridor dei problema es el propio fabricante, 
suele esperar el tiempo suficiente como para desarrollar los parches necesarios 
para corregirla, de forma que se dan a conocer de forma simultânea tanto el pro¬ 
blema como la solución. Si el descubridor es ajeno a la empresa, suele informar 
en primer lugar a ésta y, tras un período de gracia, hacerla pública. 

Desde el punto de vista dei usuário, quizás sea esta la estratégia que garantice 
unas ventanas de exposición de menor tamano. Sin embargo, el hecho de que 
se conozca de un elevado número de vulnerabilidades suele tener un impacto 
negativo desde el punto de vista de la imagen comercial dei producto, por lo 
que las empresas no siempre lo consideran rentable. 
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■ No revelación : La empresa analiza su producto, identifica sus vulnerabilidades, y 
eventualmente las corrige, pero lo hace a través de parches genéricos o nuevas 
versiones dei producto, sin informar a los clientes sobre las vulnerabilidades 
corregidas. Esta estratégia puede funcionar en algunos casos, ya que podría 
razonarse que de esta forma no se suministra información a posibles atacantes 
para que la aprovechen. Sin embargo, deja a los administradores en situación 
de indefensión, ya que les impide desarrollar sus propias contramedidas, al 
desconocer los riesgos reales que corre su sistema, y al mismo tiempo no evita 
que los atacantes puedan detectar las vulnerabilidades por otros médios. 

■ Negación de las vulnerabilidades: Afortunadamente, cada vez son menos las em¬ 
presas que niegan ciertas vulnerabilidades en sus productos, e incluso atacan a 
quienes las descubren y hacen públicas alegando que violan su propiedad inte¬ 
lectual. Es un hecho que esta inaceptable actitud acaba pasando factura a largo 
plazo. 

■ Reconocimiento de las vulnerabilidades, y negación de su impacto: En muchos ca¬ 
sos, se detectan vulnerabilidades en sistemas informáticos que luego no se sabe 
aprovechar para producir un dano. Para la imagen de una empresa suele ser 
mucho menos danino reconocer un fallo en su sistema, y negar acto seguido 
que dicho fallo suponga un riesgo. Adicionalmente, supone una excusa per- 
fecta para no invertir recursos en la corrección dei problema. Para evitar esto, 
la mayor parte de las vulnerabilidades publicadas suelen ir acompanadas dei 
exploit correspondiente, a modo de prueba de concepto. 

■ Reconocimiento de las vulnerabilidades, sin publicar correcciones: En no pocas ocasio¬ 
nes suele ocurrir que la corrección de una vulnerabilidad implica câmbios pro¬ 
fundos en el software. Esto hace que muchas más veces de las que seria deseable 
las empresas prefieren aplazar esta tarea, con la esperanza de que los danos pro¬ 
vocados por la ventana de exposición que deliberadamente están prolongando 
sean pequenos. En algunos casos, se remite a futuras versiones dei producto en 
cuestión como única solución. 


19.6. La Seguridad como Proceso 

Un sistema informático solo puede comprenderse desde un punto de vista di¬ 
nâmico, ya que cualquier operación de entrada de datos, almacenamiento, recupe- 
ración, o proceso de los mismos, supone una modificación dei estado en el propio 
sistema. Por lo tanto, un sistema de estas características debe entenderse y analizarse 
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como algo que evoluciona en el tiempo, pasando por diferentes estados, que enten¬ 
didos de manera aislada pierden la práctica totalidad de su sentido. De la misma 
manera, la seguridad de un sistema de información únicamente adquiere sentido si 
la enfocamos como una entidad dinâmica. De hecho, un sistema estático que no evo¬ 
lucionara a lo largo dei tiempo jamás podría tener problemas de seguridad, ya que no 
podrían entrar ni salir datos de él, ni modificarse los que eventualmente albergara. 

Podemos afirmar que un sistema dinâmico es seguro o inseguro en tanto que lo es 
su funcionamiento. En consecuencia, un producto informático no podrá considerarse 
seguro o inseguro de forma absoluta, sino que habrá situaciones y entornos en los que 
su funcionamiento será correcto —y por tanto seguro—, junto con otras en las que el 
citado producto fallará. Salvo en casos muy simples, lo más que podemos decir acerca 
de un producto informático es que no conocemos las condiciones de funcionamiento 
en las que manifiesta fallos o vulnerabilidades. 


19.6.1. La seguridad absoluta no existe 

Debido a la enorme flexibilidad de los sistemas informáticos actuales, a la com- 
plejidad de las interacciones que se dan en su interior, y a la cantidad de elementos 
diferentes que los integran, resulta prácticamente imposible contemplar todas y cada 
una de las condiciones posibles en las que un producto software tendrá que trabajar. 
Lo más probable es que, independientemente de la calidad de un programa, se pue- 
dan producir con mayor o menor dificultad condiciones en las que acabe fallando. 
Afirmar, pues, que un producto es seguro resulta, cuando menos, aventurado. 

En general, cualquier entorno de trabajo debe considerarse intrinsecamente in¬ 
seguro. Por tanto, debemos desconfiar de soluciones milagrosas que supuestamente 
garantizan la seguridad en un sistema, sin que tengamos que preocupamos de na¬ 
da. Estos productos lo único que generan es una falsa sensación de seguridad, que 
se convierte en autêntica desconfianza cuando acaban aflorando sus fallos. Un ad¬ 
ministrador de seguridad sensato debe tener como objetivo minimizar el número de 
vulnerabilidades en el sistema administrado, así como estar preparado para que el 
dano sea mínimo en el caso de que se produzca un fallo. Esto solo puede conseguirse 
a través de un proceso de vigilância y supervisión constante, que pasa por: 

■ El control de los disenos. El administrador debe supervisar todos los productos 
que integran su sistema, cómo las condiciones de uso en las que deben funcio¬ 
nar. 

■ No asumir riesgos innecesarios. En no pocas ocasiones, las configuraciones por de¬ 
tecto de determinados productos resultan inseguras. En otros casos, se activan 
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elementos o servidos que, resultando supérfluos, dan lugar a la aparición de 
vulnerabilidades. 

■ Aprender de errores pasados, para evitar que se repitan en el futuro. 


19.6.2. Los costes de la seguridad 

En el contrato de licencia de la mayor parte de los productos software que se ven- 
den en la actualidad exonera de toda responsabilidad sobre mal funcionamiento al 
fabricante. Esta situación seria impensable en otro tipo de industrias, donde las em¬ 
presas indemnizan a los clientes cuando estos sufren danos provocados por defec- 
tos de fabricación en sus productos. Quizás si esta práctica se extendiera más en el 
mundo dei software, las empresas invertirían más recursos en la seguridad de sus 
programas. 

En cualquier caso, el desarrollo de productos softzvare más seguros incrementa los 
costes de producción, ralentiza el desarrollo, y no elimina por completo los futuros 
problemas de seguridad. En este sentido cabe remarcar que las tradicionales pruebas 
beta no suelen ser útiles para detectar vulnerabilidades en un sistema. Para encon¬ 
trarias es necesario llevar a cabo pruebas muy complejas y específicas; de hecho gran 
parte de ellas son descubiertas de manera fortuita, incluso mucho después de de la 
salida comercial dei producto en cuestión. 

Otro elemento realmente significativo es la escasa o nula formación desde el pun- 
to de vista de la seguridad que tienen muchos directivos, programadores e incluso 
analistas de las empresas de desarrollo de software. Por fortuna, en los planes de es¬ 
túdio de los futuros profesionales de la Informática, este tema poco a poco va siendo 
contemplado con la atención que merece. 

Todas estas circunstancias, unidas a la competência feroz que sufre el mercado, 
obligan a las empresas a optar por una cierta relajación de los requisitos de seguridad 
en las fases de diseno y desarrollo de sus productos, lo que aumenta la probabilidad 
de aparición de vulnerabilidades en los mismos. 


19.6.3. La seguridad es un proceso, no un producto 

La seguridad no puede entenderse como un producto, sino como un proceso que 
debe estar presente en todas las fases dei ciclo de vida de un sistema: 

■ El diseno. Incluimos aqui tanto el diseno de cada uno de los elementos hardware y 
software que integrarán el sistema, sobre los que en la mayor parte de los casos el 
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administrador de seguridad carecerá de control, como el de la propia estmctura 
dei sistema final, que especifica los componentes concretos, y su integración. 

■ El desarrollo e implantación. Todo lo que hemos dicho en el párrafo anterior acerca 
dei diseho es igualmente aplicable a este punto. 

■ La definición de cómo debe usarse el sistema. Esto implica decidir qué cosas van a 
estar permitidas y cuáles no, así como qué elementos deberán ser supervisados, 
de qué manera y con qué frecuencia. 

A modo de resumen, podemos decir que todo administrador de seguridad debe 
tener siempre presente lo siguiente: 

■ Todos los sistemas tienen vulnerabilidades y fallos. 

■ Hay que dar por hecho que, tarde o temprano, se van a producir fallos. 

■ Es necesario tener previsto cómo enfrentarse a los problemas, antes de que estos 
se manifiesten. 

■ Las tareas de un administrador de seguridad incluyen, entre otras: 

• Realización frecuente de copias de seguridad, para poder recuperarse fren¬ 
te a eventuales pérdidas o alteraciones de los datos. 

• En caso de fallo, análisis de la evolución pasada dei sistema para identificar 
el origen dei problema. 

• Supervisión constante dei funcionamiento dei sistema, para detectar posi- 
bles riesgos de forma inmediata. 

• Detección de eventos sospechosos , que permitan anticiparse a posibles fa¬ 
llos. 

• Revisión constante de la organización dei sistema. 


19.7. Políticas de Seguridad 

A la hora de sistematizar el uso y funcionamiento de un sistema informático en 
producción, es necesario definir y documentar las condiciones de trabajo desde el 
punto de vista de la seguridad. Para ello es necesario llevar a cabo una reflexión 
realista, que permita minimizar tanto las vulnerabilidades dei sistema, como trans- 
currido desde la detección de un fallo o ataque, hasta su completa neutralización. De 
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Política 

Procedimiento 

Práctica 

Proteger el servidor ftp 
frente a accesos no auto¬ 
rizados. 

Mantener actualizado el 
servidor. 

Descargar e instalar dia¬ 
riamente los parches de 
seguridad. 

Monitorizar intentos de 
acceso sospechosos. 

Ejecutar diariamente el 
programa DenyHosts. 


Figura 19.2: Ejemplo de política procesal de seguridad 


nada sirve ignorar determinados riesgos, dedicar demasiados recursos a los menos 
probables, o carecer de un plan de contingências adecuado. 

Definiremos pues, las Expectativas de Seguridad como el funcionamiento real espe¬ 
rado de un sistema, incluyendo los posibles riesgos de seguridad. Por lo tanto, las 
políticas de seguridad serán el resultado de documentar las expectativas de seguridad 
de un sistema. 

Dependiendo dei método que se emplee para analizar y documentar las expecta¬ 
tivas de seguridad, las políticas de seguridad pueden ser de dos tipos: procesales o 
formales. 


19.7.1. Políticas Procesales de Seguridad 

Plasman directamente, de una manera más o menos informal, la filosofia de segu¬ 
ridad de la empresa. Este enfoque permite recoger de forma directa y explícita cada 
uno de los elementos relacionados con la seguridad, pero no proporciona una meto¬ 
dologia sistemática para definir y detectar todos y cada uno de ellos. Esto obliga a ser 
muy cuidadosos, para que ningún aspecto relevante quede excluido. 

Para cada una de las políticas, se definen los siguientes elementos (ver figura 19.2): 

■ El objetivo: Cada política debe perseguir un objetivo concreto, encaminado a 
proteger el sistema o una parte de él. 

■ El procedimiento: Se describe, de una forma más o menos abstracta, cómo de- 
ben realizarse, de forma general, las tareas básicas en el sistema. 

■ La práctica: Definición precisa de cada una de las tareas individuales que cons- 
tituyen el procedimiento. 
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19.7.2. Políticas Formales de Seguridad 

Las políticas de seguridad formales proporcionan un modelo abstracto dei siste¬ 
ma, usualmente basado en autómatas finitos, que permite definir de forma sistemá¬ 
tica y completa todos los estados por los que puede pasar el sistema en su funcio- 
namiento diário. Las metodologias formales emplean normalmente un lenguaje de 
representación, que no solo permite definir correctamente las políticas de seguridad, 
sino que permite, a diferencia de las políticas procesales, su aplicación de manera 
automatizada. 

Presentan una ventaja fundamental sobre los enfoques procesales, ya que abarcan 
todos los posibles estados en los que puede encontrarse el sistema, las transiciones 
entre éstos, y las operaciones permitidas en cada estado, evitando de forma eficaz que 
quede alguna situación sin contemplar. Es, por tanto, el método más potente, ya que 
ayuda a detectar y modelar claramente todas las situaciones de peligro. Sin embargo, 
definir este tipo de políticas puede convertirse en una tarea ardua y compleja, por lo 
que en sistemas de complejidad media y baja suele optarse por las políticas de tipo 
procesal. 
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Apêndice A 

Criptografia Cuántica 


La Física Cuántica estudia el comportamiento de la matéria a escalas muy peque¬ 
nas, dei orden de los átomos. En el mundo cuántico las regias que rigen la Mecânica 
Clásica dejan de tener validez, y se producen fenómenos tan sorprendentes como 
interesantes, que abren las puertas a posibilidades de aplicación casi increíbles en 
muchos campos, entre los que se encuentra, por supuesto, la Criptografia. 

Cabe recordar que hoy por hoy ya existen algunas aplicaciones prácticas de la Me¬ 
cânica Cuántica en Criptografia, mientras que otras, como las basadas en los compu¬ 
tadores cuánticos, siguen perteneciendo al âmbito de la especulación, ya que la tec¬ 
nologia que podría permitimos desarrollar dispositivos de este tipo aún no existe. 


A.l. Mecânica Cuántica y Criptografia 

Una de las aplicaciones directas de los fenómenos cuánticos en Criptografia viene 
de un principio básico de esta teoria: un objeto no puede interaccionar con otro sin 
experimentar alguna modificación. Esto está permitiendo fabricar canales de comu- 
nicación en los que los datos viajem en forma de fotones individuales con diferentes 
características. El hecho aqui es que si un atacante intentara interceptar la comuni- 
cación no tendría más remedio que interactuar con esos fotones, modificándolos de 
manera detectable por el receptor. 

Este tipo de propiedades permite construir líneas de comunicación totalmente 
imposibles de interceptar sin ser descubierto, y de hecho ya se han llevado a cabo 
algunos experimentos en los que se ha logrado transmitir información a distancias 
y velocidades respetables. Evidentemente, estos canales ultraseguros dificilmente se- 
rán tan rápidos o tan baratos como las líneas eléctricas y ópticas actuales, pero en un 
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Figura A.l: Experimento con espejos para comprobar la superposición cuántica de 
estados en un fotón. A es una fuente emisora de fotones, B y C son receptores, 1 y 
4 son espejos totalmente reflectantes, y 2 y 3 son espejos que reflejan exactamente la 
mitad de la luz y dejan pasar la otra mitad. Contrariamente a lo que diría la intuición, 
en B no se detecta nada. 


futuro próximo constituirán médios idóneos para transmitir información de carácter 
sensible. 


A.2. Computación Cuántica 

Existe un fenómeno en Mecânica Cuántica realmente difícil de entender para 
nuestras clásicas mentes. Obsérvese la figura A.l. En ella se ilustra un conocido y 
sorprendente experimento. A es una fuente capaz de emitir fotones, 1 y 4 dos espejos 
completamente reflectantes, y 2 y 3 espejos semirreflectantes, que reflejan la mitad 
de la luz y dejan pasar la otra mitad. Si situamos en B y C detectores de fotones, la 
intuición —y la Mecânica Clásica— nos dirían que cada fotón acabará excitando B o 
C con un 50 % de probabilidades. Pues bien, lo que en realidad ocurre es que C se ex¬ 
cita siempre y B no lo hace nunca. Esto demuestra que, a nivel subatômico, cualquier 
partícula puede estar en dos sitios simultaneamente, o más propiamente, en una super¬ 
posición cuántica de dos estados, lo cual significa que está realmente en esos dos estados, 
en lugar de estar en uno u otro con determinada probabilidad. 

Supongamos ahora que logramos construir un dispositivo capaz de representar 
bits mediante estados cuánticos de una o muy pocas partículas. Si colocamos dichas 
partículas en una combinación de los dos estados básicos, tendríamos un bit cuántico 
(o cjubit), capaz de representar un 1 y un 0... jal mismo tiempo!. 
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Estas ideas, que datan de los anos 80, se han barajado más bien como simples en- 
tretenimientos para mentes inquietas, hasta que a mediados de los 90 se propuso el 
primer algoritmo capaz de ser ejecutado en una computadora cuántica. Dicho algorit¬ 
mo podría, de forma eficiente, factorizar números enteros muy grandes. Imagínense 
las implicaciones que esto tiene para la Criptografia moderna, ya que supondría la 
caída de la gran mayoría de los algoritmos asimétricos, que basan su funcionamiento 
en el problema de la factorización de grandes enteros, y la necesidad inmediata de 
alargar considerablemente las longitudes de claves para algoritmos simétricos. Evi¬ 
dentemente, estos resultados han provocado que mucha gente tome muy en serio este 
tipo de computadoras, y que en la actualidad haya importantes grupos dedicados a 
la investigación en este campo. 


A.3. Expectativas de Futuro 

Por fortuna —o por desgracia, según se mire—, los modelos cuánticos de compu- 
tación hoy por hoy no pasan de meras promesas, ya que la tecnologia actual no per¬ 
mite confinar partículas individuales de forma que preserven su estado cuántico. Los 
más optimistas aseguran que en pocos anos tendremos los primeros microprocesa- 
dores cuánticos en funcionamiento, mientras que la gran mayoría opina que todavia 
transcurrirán décadas antes de poder disponer dei primer dispositivo realmente ope¬ 
rativo —si es que lo conseguimos algún día—. 

Lo que si podemos afirmar con rotundidad es que los modelos criptográficos ac- 
tuales seguirán siendo válidos durante algunos anos más. En cualquier caso, no con- 
viene perder de vista estas promesas tecnológicas, ya que cuando se conviertan en 
realidades, obligarán a replantear muchas cuestiones, y no sólo en el âmbito de la 
Criptografia. 
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Apêndice B 

Ayudas a la Implementación 


Incluiremos en este apêndice información útil para facilitar al lector la implemen¬ 
tación de diferentes algoritmos criptográficos. Aquellos que no sepan programar, o 
que simplemente no deseen escribir sus propias versiones de los criptosistemas que 
aparecen en este libro, pueden prescindir de esta sección. 


B.l. DES 

En el capítulo dedicado a algoritmos simétricos por bloques se ha hecho una des- 
cripción completa dei algoritmo DES, pero se han omitido deliberadamente algunos 
detalles que sólo son útiles de cara a la implementación, como pueden ser los valores 
concretos de las S-Cajas y de las permutaciones que se emplean en este algoritmo. 

B.l.l. S-Cajas 

La tabla B.l representa las ocho S-Cajas 6*4 que posee DES. Para aplicarias basta 
con coger el número de seis bits de entrada b 0 bib 2 b 3 b 4 b 5 , y buscar la entrada corres- 
pondiente a la fila b 0 b 5/ columna bib 2 b 3 b 4 . Por ejemplo, el valor de la tercera S-Caja 
para 110010 corresponde a la fila 2 (10), columna 9 (1001), es decir, 1 (0001). 


B.1.2. Permutaciones 

DES lleva a cabo permutaciones a nivel de bit en diferentes momentos. Las tablas 
que aqui se incluyen deben leerse por filas de arriba a abajo, y sus entradas corres- 
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Permutación Inicial P, 

58 

50 

42 

34 

26 

18 

10 

2 

60 

52 

44 

36 

28 

20 

12 

4 

62 

54 

46 

38 

30 

22 

14 

6 

64 

56 

48 

40 

32 

24 

16 

8 

57 

49 

41 

33 

25 

17 

9 

1 

59 

51 

43 

35 

27 

19 

11 

3 

61 

53 

45 

37 

29 

21 

13 

5 

63 

55 

47 

39 

31 

23 

15 

7 

Permutación Final Pf 

40 

8 

48 

16 

56 

24 

64 

32 

39 

7 

47 

15 

55 

23 

63 

31 

38 

6 

46 

14 

54 

22 

62 

30 

37 

5 

45 

13 

53 

21 

61 

29 

36 

4 

44 

12 

52 

20 

60 

28 

35 

3 

43 

11 

51 

19 

59 

27 

34 

2 

42 

10 

50 

18 

58 

26 

33 

1 

41 

9 

49 

17 

57 

25 


Cuadro B.2: Permutaciones Inicial (P,) y Final (Pf) dei algoritmo DES. 


ponden al número de bit dei valor inicial (empezando por el 1) que debe aparecer 
en la posición correspondiente. Por ejemplo, la primera tabla de B.2 lleva el valor 

bibobs ... &64 en b^b^b^ ■ ■ - bj. 


Permutaciones Inicial y Final 

La tabla B.2 contiene las permutaciones inicial y final Pj y Pf dei algoritmo DES. 
La primera de ellas se lleva a cabo justo al principio, antes de la primera ronda, y la 
segunda se aplica justo al final. Nótese que cada una de estas permutaciones es la 
inversa de la otra. 


Función / 

En el cálculo de la función / se emplean dos permutaciones, E y P (ver figura 
10.3). Dichas permutaciones se detallan en la tabla B.3. E es una permutación de 
expansión, por lo que da como salida 48 bits a partir de los 32 de entrada. 


Generación de las K\ 

En la figura 10.4 podemos observar el proceso de generación de los 16 valores 
de Ki, en el que se emplean dos nuevas permutaciones (EP1 y EP2), detalladas en la 
tabla B.4. La primera toma como entrada 64 bits, de los que conserva sólo 56, mientras 
que la segunda toma 56, y devuelve 48. 
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Permutación E 

32 

1 

2 

3 

4 

5 

4 

5 

6 

7 

8 

9 

8 

9 

10 

11 

12 

13 

12 

13 

14 

15 

16 

17 

16 

17 

18 

19 

20 

21 

20 

21 

22 

23 

24 

25 

24 

25 

26 

27 

28 

29 

28 

29 

30 

31 

32 

1 

Permutación P 

16 

7 

20 

21 

29 

12 

28 

17 

1 

15 

23 

26 

5 

18 

31 

10 

2 

8 

24 

14 

32 

27 

3 

9 

19 

13 

30 

6 

22 

11 

4 

25 


Cuadro B.3: Permutaciones E y P para la función / de DES. 








Permutación 

EP1 








57 

49 

41 

33 

25 

17 

9 

1 

58 

50 

42 

34 

26 

18 



10 

2 

59 

51 

43 

35 

27 

19 

11 

3 

60 

52 

44 

36 



63 

55 

47 

39 

31 

23 

15 

7 

62 

54 

46 

38 

30 

22 



14 

6 

61 

53 

45 

37 

29 

21 

13 

5 

28 

20 

12 

4 








Permutación 

EP2 







14 

17 

11 

24 

1 

5 

3 

28 

15 

6 

21 

10 

23 

19 

12 

4 

26 

8 

16 

7 

27 

20 

13 

2 

41 

52 

31 

37 

47 

55 

30 

40 

51 

45 

33 

48 

44 

49 

39 

56 

34 

53 

46 

42 

50 

36 

29 

32 


Cuadro B.4: Permutaciones EP1 y EP2 para DES. 
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B.1.3. Valores de prueba 

Una vez que tengamos implementado nuestro algoritmo DES, conviene asegurar- 
se de que funciona adecuadamente. Se incluyen en esta sección algunos valores de 
prueba, que contienen todos los datos intermédios que se emplean en el algoritmo, 
para que el lector pueda comparados y asegurarse de que su programa es correcto. 
Los datos están representados en hexadecimal, de izquierda a derecha. 

Subclaves 

Clave : 0123456789ABCDEF 

Eleccion permutada :FOCCAAOAACCFOO -> L=F0CCAA0 R=AACCF00 
Llaves Intermedias (Ki): 

K01 = 0B02 67 9B4 9A5 K02 = 69A659256A26 K03 = 45D48AB428D2 K04 = 7289D2A58257 
K05=3CE80317A6C2 K06=23251E3C8545 K07=6C04950AE4C6 K08=5788386CE581 
KO9=C0C9E92 6B839 Kl0 = 91E307631D72 K11=211F830D893A K12 = 7130E5455C54 
K13=91C4D04980FC K14=5443B681DC8D K15=B691050A16B5 Kl6=CA3D03B87032 


Clave : 23FE536344578A49 

Eleccion permutada :42BE0B26F32C26 -> L=42BE0B2 R=6F32C26 
Llaves Intermedias (Ki): 

K01=A85AC602 6ADB K02=253612F02DC3 K03 = 661CD4AE821F K04 = 5EE0505777C2 
K05=0EC53A3C8169 KO6=EE010FC2FC46 KO7=2B8A096CA7B8 K08=0938BAB95C4B 
KO9 = 11C2CC6B1F64 K10 = 10599698C9BA Kl1=342965455E15 K12 = 836425DB20F8 
K13=C907B4A1DB0D K14=D492A91236B6 Kl5=939262FD09A5 Kl6=B0AA1B27E2A4 


Codificación 

Codificando con Clave : 0123456789ABCDEF 

Texto Claro :0000000000000000 

Bloque permutado :0000000000000000 

PasoOl : L=00000000 R=2F52D0BD Paso02 : L=2F52D0BD R=0CB9A16F 

Paso03 : L=0CB9A16F R=15C84A76 Paso04 : L=15C84A76 R=8E857E15 

Paso05 : L=8E857E15 R=20AC7F5A Paso06 : L=20AC7F5A R=526671A7 

Paso07 : L=526671A7 R=D1AE9EE9 Paso08 : L=D1AE9EE9 R=6C4BBB2C 

PasoO9 : L=6C4BBB2C R=92882868 PasolO : L=92882868 R=694A6072 
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Pasol1 

Pasol3 

Pasol5 

L=694A6072 

L=0A0D3F6 6 

L=C0DBACF2 

R=A0A3F716 

R=E672C20E 

R=0B7 8E4 0C 

Pasol2 

Pasol4 

Pasol6 

L=A0A3F716 

L=E672C20E 

L=0B7 8E4 0C 

R=0A0D3F6 6 

R=C0DBACF2 

R=2F 4BCFCD 


Resultado sin permutar:2F4BCFCD0B78E40C 
Resultado final :D5D44FF720683D0D 


Codificando con Clave : 0000000000000000 


Texto Claro :123456789ABCDEF0 

Bloque permutado :CCFF6600F0AA7855 
PasoOl 
Paso03 
Paso05 
Paso07 
PasoO 9 
Pasol1 
Pasol3 
Pasol5 

Resultado sin permutar:8C0D6935191E936E 
Resultado final :9D2A73F6A9070648 


L=F0AA7 855 

R=E0D40658 

Paso02 

L=E0D40658 

R=BA8 92 0BC 

L=BA8 92 0BC 

R=902 64C4F 

Paso04 

L=902 64C4F 

R=2E3FA1F4 

L=2E3FA1F4 

R=8D42B315 

PasoO 6 

L=8D42B315 

R=8769003E 

L=87 69003E 

R=9F14B42F 

Paso08 

L=9F14B42F 

R=E4 8 64 6E9 

L=E4 8 64 6E9 

R=6B185CDC 

Pasol0 

L=6B185CDC 

R=4E7 8 9B16 

L=4E7 8 9B16 

R=F3AA9FA8 

Pasol2 

L=F3AA9FA8 

R=56397838 

L=56397838 

R=54167 8B2 

Pasol4 

L=54167 8B2 

R=A4C1CE1A 

L=A4C1CE1A 

R=191E936E 

Pasol6 

L=1 91E936E 

R=8C0D6935 


Codificando con Clave : 23FE536344578A49 


Texto Claro :123456789ABCDEF0 

Bloque permutado :CCFF6600F0AA7855 


PasoOl 

L=F0AA7 855 

R=A8AEA01C 

Paso 

Paso03 

L=71F914D1 

R=BC196339 

Paso 

Paso05 

L=6893EC61 

R=D5C2 7 0 6F 

Paso 

Paso07 

L=ABD6DDAC 

R=017151AF 

Paso 

PasoO 9 

L=3FB9D8DA 

R=3AAAC2 60 

Paso 

Pasol1 

L=2 83E37 0C 

R=FBA98CD4 

Paso 

Pasol3 

L=65FBC266 

R=FCA1C4 94 

Paso 

Pasol5 

L=F7A90537 

R=745EBD6A 

Paso 

Resultado sin permutar:86810420745EBD 

Resultado final 

: 1862EC2AA88BA2 


02 

04 

06 

08 

10 

12 

14 

16 

6A 

58 


L=A8AEA01C 
L=BC19 633 9 
L=D5C2 7 0 6F 
L=017151AF 
L=3AAAC2 60 
L=FBA98CD4 
L=FCA1C4 94 
L=745EBD6A 


R=71F914D1 
R=6893EC61 
R=ABD6DDAC 
R=3FB9D8DA 
R=2 83E37 0C 
R=65FBC266 
R=F7A90537 
R=86810420 
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Decodificación 

Decodificando con Clave : 0123456789ABCDEF 

Texto Cifrado :0000000000000000 
Bloque permutado :0000000000000000 

PasoOl : L=00000000 R=01BA8064 Paso02 : L=01BA8064 R=A657157E 

Paso03 : L=A657157E R=C4DEA13D Paso04 : L=C4DEA13D R=0C766133 

Paso05 : L=0C766133 R=95AD3310 Paso06 : L=95AD3310 R=C5C12518 

Paso07 : L=C5C12518 R=1FFFFF76 Paso08 : L=1FFFFF76 R=33571627 

PasoO9 : L=33571627 R=CA47EDD9 PasolO : L=CA47EDD9 R=5B462EE4 

Pasoll : L=5B462EE4 R=DB9C4677 Pasol2 : L=DB9C4677 R=E0B23FE6 

Pasol3 : L=E0B23FE6 R=8A5D943F Pasol4 : L=8A5D943F R=3ABFFA37 

Pasol5 : L=3ABFFA37 R=FE6A1216 Pasol6 : L=FE6A1216 R=5CBDAD14 

Resultado sin permutar :5CBDAD14FE6A1216 
Resultado final :14AAD7F4DBB4E094 


Decodificando con Clave : 0000000000000000 

Texto Cifrado :123456789ABCDEF0 
Bloque permutado :CCFF6600F0AA7855 

PasoOl : L=F0AA7855 R=E0D40658 Paso02 : L=E0D40658 R=BA8920BC 

Paso03 : L=BA8920BC R=90264C4F Paso04 : L=90264C4F R=2E3FA1F4 

Paso05 : L=2E3FA1F4 R=8D42B315 Paso06 : L=8D42B315 R=8769003E 

Paso07 : L=8769003E R=9F14B42F Paso08 : L=9F14B42F R=E48646E9 

PasoO9 : L=E48646E9 R=6B185CDC PasolO : L=6B185CDC R=4E789B16 

Pasoll : L=4E789B16 R=F3AA9FA8 Pasol2 : L=F3AA9FA8 R=56397838 

Pasol3 : L=56397838 R=541678B2 Pasol4 : L=541678B2 R=A4C1CE1A 

Pasol5 : L=A4C1CE1A R=191E936E Pasol6 : L=191E936E R=8C0D6935 

Resultado sin permutar :8C0D6935191E936E 
Resultado final :9D2A73F6A9070648 


Decodificando con Clave : 23FE536344578A49 

Texto Cifrado :123456789ABCDEF0 
Bloque permutado :CCFF6600F0AA7855 

PasoOl : L=F0AA7855 R=3C272434 Paso02 : L=3C272434 R=0349A079 

Paso03 : L=0349A079 R=57DB85A0 Paso04 : L=57DB85A0 R=2456EB13 

Paso05 : L=2456EB13 R=0664691A Paso06 : L=0664691A R=A7E17FC4 
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Paso07 : L=A7E17FC4 R=5C492B70 Paso08 
PasoO9 : L=5DA12B1E R=A8F499FD PasolO 
Pasoll : L=3556E6F4 R=DA8A4F75 Pasol2 
Pasol3 : L=D544F4AE R=6A25EFF3 Pasol4 
Pasol5 : L=30E29C71 R=5F3B58B8 Pasol6 
Resultado sin permutar :AF054FAE5F3B58B8 
Resultado final :F4E5D5EFAA638C43 


L=5C4 92B7 0 
L=A8F4 99FD 
L=DA8A4F7 5 
L=6A25EFF3 
L=5F3B5 8B8 


R=5DA12B1E 
R=3556E6F4 
R=D544F4AE 
R=3 0E2 9C71 
R=AF054FAE 


B.2. IDEA 


Incluimos ahora valores de prueba para el algoritmo IDEA, tanto para las claves 
intermedias Z t de codificación y decodificación, como para los valores de las X\ en 
cada ronda. Los datos, al igual que en el caso de DES, están representados en he¬ 
xadecimal. Nótese que la interpretación numérica de cada registro de 16 bits es, a 
diferencia de algoritmos como MD5, de tipo big endian. Esto significa que el primer 
byte en la memória es el más significativo. 


Subclaves 

Clave: 0123 4567 89AB CDEF 0123 4567 89AB CDEF 


Claves Intermedias Zi (Codif icacion) : 


Ronda 

1 

0123 

4567 

8 9AB 

CDEF 

0123 

4567 

Ronda 

2 

8 9AB 

CDEF 

CF13 

579B 

DE02 

4 68A 

Ronda 

3 

CF 13 

579B 

DE02 

4 68A 

37BC 

048D 

Ronda 

4 

159E 

2 6AF 

37BC 

048D 

159E 

2 6AF 

Ronda 

5 

1A2B 

3C4D 

5E6F 

7809 

1A2B 

3C4D 

Ronda 

6 

5E6F 

7809 

9ABC 

DEFO 

1234 

5678 

Ronda 

7 

9ABC 

DEFO 

1234 

5678 

E024 

6 8 AC 

Ronda 

8 

F135 

7 9BD 

E02 4 

6 8 AC 

F135 

7 9BD 

Ronda 

9 

59E2 

6AF3 

7BC0 

4 8D1 



Claves 

Intermedias 

Zi (Decodificacion): 

Ronda 

1 

7 4E6 

950D 

8440 

BBF8 

F135 

7 9BD 

Ronda 

2 

AC8A 

1FDC 

8643 

8794 

E024 

6 8 AC 

Ronda 

3 

6378 

EDCC 

2110 

2CAD 

1234 

5678 

Ronda 

4 

743E 

6544 

8 7F7 

7 7DA 

1A2B 

3C4D 

Ronda 

5 

1E4E 

Al 91 

C3B3 

E01F 

159E 

2 6AF 

Ronda 

6 

B2B4 

C844 

D951 

7 A6 6 

37BC 

048D 

Ronda 

7 

963D 

2 1FE 

A865 

A0 8 6 

DE02 

4 68A 
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Ronda 8 : 3F93 30ED 3211 4F6A 0123 4567 
Ronda 9 : 35AA BA99 7655 153B 


Clave: 6382 6F7E 8AB1 0453 BFED 93DC D810 9472 

Claves Intermedias Zi (Codif icacion) : 

Ronda 1 : 6382 6F7E 8AB1 0453 BFED 93DC 

Ronda 2 : D810 9472 FD15 6208 A77F DB27 

Ronda 3 : B9B0 2128 E4C7 04DE 114E FFB6 

Ronda 4 : 4F73 6042 51C9 8E09 BDFA 2AC4 

Ronda 5 : 6C9E E6C0 84A3 931C 137B F455 

Ronda 6 : 8822 9DFF 8109 4726 3826 F7E8 

Ronda 7 : AB10 453B FED9 3DCD 4C70 4DEF 

Ronda 8 : D156 208A 77FD B27B 9B02 128E 

Ronda 9 : DFA2 AC41 14EF FB64 

Claves Intermedias Zi (Decodificacion): 

Ronda 1 : 77BD 53BF EB11 C3BE 9B02 128E 

Ronda 2 : CB03 8803 DF76 063B 4C70 4DEF 

Ronda 3 : FF28 0127 BAC5 A8F7 3826 F7E8 

Ronda 4 : 3921 7EF7 6201 B97D 137B F455 

Ronda 5 : 6334 7B5D 1940 8F7B BDFA 2AC4 

Ronda 6 : 7FF2 AE37 9FBE 470C 114E FFB6 

Ronda 7 : DBFB 1B39 DED8 B150 A77F DB27 

Ronda 8 : 3989 02EB 6B8E FB04 BFED 93DC 

Ronda 9 : 2E3D 9082 754F B125 


Clave: 1111 2222 3333 4444 5555 6666 7777 8888 

Claves Intermedias Zi (Codificacion): 

Ronda 1 : 1111 2222 3333 4444 5555 6666 

Ronda 2 : 7777 8888 4466 6688 88AA AACC 

Ronda 3 : CCEE EF11 1022 2244 1111 5555 

Ronda 4 : 9999 DDDE 2220 4444 8888 CCCD 

Ronda 5 : AB33 33BB BC44 4088 8911 1199 

Ronda 6 : 9A22 22AA 7778 8881 1112 2223 

Ronda 7 : 3334 4445 5556 6667 0222 2444 

Ronda 8 : 4666 6888 8AAA ACCC CEEE Flll 

Ronda 9 : 888C CCD1 1115 5559 
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Claves Intermedias Zi (Decodif icacion) : 
Ronda 1 : D747 332F EEEB 199A CEEE Flll 
Ronda 2 : 2F67 7556 9778 9C34 0222 2444 
Ronda 3 : AAAD AAAA BBBB 0005 1112 2223 
Ronda 4 : 9791 8888 DD56 54A1 8911 1199 
Ronda 5 : E637 43BC CC45 6BF7 8888 CCCD 
Ronda 6 : 2AAA DDEO 2222 DFFF 1111 5555 
Ronda 7 : CF04 EFDE 10EF 3F3E 88AA AACC 
Ronda 8 : 5B6D BB9A 7778 D973 5555 6666 
Ronda 9 : 7FF9 DDDE CCCD DFFF 


Codificación 

Codificando con Clave: 0123 4567 89AB CDEF 0123 4567 89AB CDEF 

XI X2 X3 X4 
Texto Claro: 0000 0000 0000 0000 
Ronda 1 : 101C 6769 FD5D 8A28 

Ronda 2 : 5F13 2568 288F 1326 

Ronda 3 : BA0B A218 1F43 D376 

Ronda 4 : 700D 8CE7 C7EE 4315 

Ronda 5 : 7EC9 402F 8593 58EE 

Ronda 6 : 478C FFA0 EBFF 2668 

Ronda 7 : 348A 5D2B DFD1 E289 

Ronda 8 : 5500 73E7 FAD6 5353 

Resultado : EC29 65C9 EFA7 4710 


Codificando con Clave: 6382 6F7E 8AB1 0453 BFED 93DC D810 9472 

XI X2 X3 X4 
Texto Claro: 0123 4567 89AB CDEF 
Ronda 1 : 14E6 1CEF 9EE7 5701 

Ronda 2 : E7A7 30E6 FFE5 B63C 

Ronda 3 : 79A2 D4C4 EDCA 4B56 

Ronda 4 : 095B 4ACF B0B8 B584 

Ronda 5 : C6B0 D5D9 CCF4 C359 

Ronda 6 : 4FB9 7BFD BF7A BB4E 

Ronda 7 : 8219 6501 11EB B6EC 

Ronda 8 : F2A5 C848 9746 6910 
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Resultado : 7374 4387 DD37 5315 


Codificando con Clave: 1111 2222 3333 4444 5555 6666 7777 8888 




XI 

X2 

X3 

X4 

Texto 

Claro 

6E63 

7F8A 

8B8C 

8394 

Ronda 

1 

B37 0 

EDF7 

C835 

4 9A3 

Ronda 

2 

E798 

CE57 

118E 

9 4 EA 

Ronda 

3 

6A7 4 

FE2 9 

618B 

52D 9 

Ronda 

4 

8C64 

BCB9 

5E6C 

ODE 6 

Ronda 

5 

IDEO 

615A 

FBO 9 

D5CD 

Ronda 

6 

1872 

CF 3 7 

E332 

557B 

Ronda 

7 

A47C 

34B1 

F343 

A4 7 3 

Ronda 

8 

C87D 

F1BD 

131B 

6E87 

Resultado 

A16D 

DFEC 

02D2 

1B1 6 


Decodificación 


Decodificando con Clave: 


0123 4567 89AB CDEF 0123 4567 89AB CDEF 




XI 

X2 

X3 

X4 

Texto 

Cifrado 

0000 

0000 

0000 

0000 

Ronda 

1 

3 9EB 

3 6B0 

E85D 

3959 

Ronda 

2 

9FDD 

0 4DB 

B915 

178F 

Ronda 

3 

Cl 90 

33CE 

5D6F 

D44F 

Ronda 

4 

3 ABI 

172A 

CDBE 

744D 

Ronda 

5 

B874 

B1F 9 

2D7B 

9A42 

Ronda 

6 

4A7 6 

9475 

6BA5 

BI 14 

Ronda 

7 

BFB0 

1DD 6 

83A0 

F4A3 

Ronda 

8 

02DE 

8519 

C980 

CBD8 

Resultado 

DCD3 

8419 

FB6E 

A1E1 


Decodificando con Clave: 6382 6F7E 8AB1 0453 BFED 93DC D810 9472 




XI 

X2 

X3 

X4 

Texto 

Cifrado: 

0123 

4567 

8 9AB 

CDEF 

Ronda 

1 : 

4490 

2B63 

8 5DB 

5A10 

Ronda 

2 : 

61D8 

C3DB 

8 81D 

2404 
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Ronda 

3 

C7DB 

9502 

4CE9 

C1FC 

Ronda 

4 

AFBO 

58F8 

1920 

4DA6 

Ronda 

5 

E988 

A044 

DCCC 

D5A7 

Ronda 

6 

0C98 

B5C8 

CD67 

9A95 

Ronda 

7 

A38B 

5982 

EA9C 

D31D 

Ronda 

8 

5D35 

58BD 

FD37 

4D2F 

Resultado 

AACC 

8DB9 

CE0C 

7163 


Decodificando con Clave: 1111 2222 3333 4444 5555 6666 7777 8888 




XI 

X2 

X3 

X4 

Texto 

Cifrado 

6E63 

7F8A 

8B8C 

8394 

Ronda 

1 

F4C7 

EB12 

C7 08 

F851 

Ronda 

2 

1 9DF 

90E0 

E5F2 

B16B 

Ronda 

3 

6C8A 

4D53 

8F75 

C3EB 

Ronda 

4 

4 97E 

BA5D 

El 67 

2 6BB 

Ronda 

5 

C558 

D308 

3327 

BA2 6 

Ronda 

6 

9114 

9FD0 

7 84A 

2A5 9 

Ronda 

7 

8C36 

FE0F 

D3B9 

420F 

Ronda 

8 

E658 

1F85 

El 65 

736D 

Resultado 

4073 

BF4 3 

EC52 

8795 


B.3. AES 


Para el algoritmo AES vamos a representar, en primer lugar, los conjuntos de sub- 
claves K t para ejemplos de claves de cifrado de 128, 192 y 256 bits respectivamente. 
Cada subclave se ha representado como un conjunto de números hexadecimales de 
ocho dígitos, cada uno de los cuales correspondería a una columna de la matriz de 
clave (ver cuadro 10.5, en la página 154), de forma que los dos primeros dígitos dei 
primer número corresponden al valor k 0>0 , los dos siguientes a fci i0 , y así sucesiva- 
mente 


Clave : 0123456789ABCDEF0123456789ABCDEF (128 bits) 
Total rondas : 10 


Subclaves de cifrado: 

K00 : 67452301 EFCDAB8 9 67452301 EFCDAB8 9 
KOI : C09A9E62 2F5735EB 481216EA A7DFBD63 
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K02 

3BC6001A 

14 9135F1 

5C83231B 

FB5C9E78 

K03 

87C94A15 

93587FE4 

CFDB5CFF 

3487C287 

KO 4 

90D15D38 

038922DC 

CC527E23 

F8D5BCA4 

K05 

D9905E4D 

DA197C91 

164B02B2 

EE9EBE16 

KO 6 

9EB855C3 

44A12952 

52EA2BE0 

BC7495F6 

KO 7 

DCDDC7A9 

987CEEFB 

CA96C51B 

76E250ED 

KO 8 

8 9E55F7A 

1199B181 

DB0F749A 

ADED2477 

KO 9 

7C700A57 

6DE9BBD6 

B6E6CF4C 

1B0BEB3B 

Kl 0 

9EDF2188 

F3369A5E 

45D05512 

5EDBBE2 9 


Clave : 8765F4765A8594E74635D86950B78432C756365A15326D0E (192 bits) 
Total rondas : 12 


Subclaves de cifrado: 


KO 0 

76F46587 

E794855A 

69D8354 6 

3284B750 

KOI 

5A3 65 6C7 

0E6D3215 

2F5F59A5 

C8CBDCFF 

K02 

A113E9B9 

93975EE9 

C9A1082E 

C7CC3A3B 

K03 

CD991227 

0552CED8 

A44127 61 

37D67988 

KO 4 

FE7771A6 

3 9BB4B9D 

938BF8 90 

96D93648 

K05 

32981129 

054E68A1 

FB391907 

C282529A 

KO 6 

2BAEEB98 

BD77DDD0 

8FEFCCF 9 

8AA1A458 

KO 7 

7198BD5F 

B31AEFC5 

8DC34957 

30B49487 

KO 8 

BF5B587E 

35FAFC2 6 

44624179 

F778AEBC 

KO 9 

E8ABF5 93 

D81F6114 

6744396A 

52BEC54C 

Kl 0 

16DC8435 

E1A42A8 9 

4F53BC36 

974CDD22 

Kl 1 

F008E448 

A2B62104 

B46AA531 

55CE8FB8 

K12 

23AF37C5 

B4E3EAE7 

4 4EB0EAF 

E 65D2FAB 


Clave : 8765F4765A8594E74635D86950B78432 

C756365A15326DE012345678E21432OA (256 bits) 
Total rondas : 14 


Subclaves de cifrado: 


KO 0 

76F46587 

E794855A 

69D8354 6 

3284B750 

KOI 

5A3 65 6C7 

E06D3215 

78563412 

0A3214E2 

K02 

EE93467C 

0907C326 

60DFF660 

525B4130 

K03 

5A0FD5C3 

BA62E7D 6 

C234D3C4 

C806C726 

KO 4 

197B29B8 

107CEA9E 

7 0A31CFE 

22F85DCE 

K05 

C94E9948 

732C7E9E 

B118AD5A 

7 91E6A7C 

KO 6 

0 9CD5BBE 

19B1B120 

6912ADDE 

4BEAF010 

KO 7 

7AC91582 

09E56B1C 

B8FDC64 6 

C1E3AC3A 
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K0 8 

89B54A27 

9004FB07 

F 9165 6D 9 

B2FCA6C9 

K0 9 

4D79315F 

449C5A43 

FC619C05 

3D82303F 

Kl 0 

FC925933 

6C96A234 

9580F4ED 

277C5224 

Kl 1 

81693169 

C5F56B2A 

3994F72F 

0416C710 

K12 

36601ED5 

5AF6BCE1 

CF76480C 

E80A1A28 

K13 

1A0E935D 

DFFBF877 

E66F0F58 

E279C848 

Kl 4 

64F8A87D 

3E0E149C 

F1785C90 

197246B8 


Seguidamente representaremos los valores intermédios de cifrado y descifrado 
de un bloque de datos para estas tres claves. En cada línea se representa la matriz de 
estado (ver cuadro 10.4, página 154), de forma análoga a la que se ha empleado para 
representar la matriz de clave. 


Clave : 0123456789ABCDEF0123456789ABCDEF (128 bits) 


CIFRADO: 

Bloque 

Ronda 

01 

Ronda 

02 

Ronda 

03 

Ronda 

04 

Ronda 

05 

Ronda 

06 

Ronda 

07 

Ronda 

08 

Ronda 

09 

Ronda 

10 

Cifrado 


7563957A 

201D4467 

0486AEC2 

EDEF12D7 

C398674B 

C707CA8E 

D4D13E6C 

508F2AEF 

E500843A 

5585CDD0 

74B460BC 

74B460BC 


7C6E9274 
70B06937 
951CEAA5 
E6C5DB1E 
C9822958 
A5C9F7EE 
4 6 952EB2 
74 6D34C0 
4 302ADE4 
4 3ADC584 
4 4 9 6A083 
4496A083 


6E87F937 
8FBFA93C 
8 7BCD35D 
E2E45A51 
E84F1592 
C2BB119F 
F24BAAEC 
D13BF25D 
5E7E684E 
1B81F49C 
BDBF6D1A 
BDBF6D1A 


A2F4AB04 
1D4757CF 
CE92939C 
8D1F89E9 
0C4556C0 
D177A68A 
6D5929FE 
2 8 8DCBBA 
DE924E02 
1EBB35 94 
5B297D80 
5B297D80 


(128 bits) 


DESCIFRADO: 


Bloque 


7563957A 

7C6E9274 

6E87F937 

A2F4AB04 

Ronda 

01 

B319F6D6 

F00601B2 

031D107C 

1E876239 

Ronda 

02 

3968DE25 

C6266F04 

A33BA0FF 

D7C06313 

Ronda 

01 

9706478A 

4 625 65BA 

164FF166 

8FECC2 0 8 

Ronda 

02 

87C9E8FB 

25B34D03 

D74DE19C 

5FA360A5 

Ronda 

01 

C808ECD8 

A3E29DAE 

94293CCB 

6304742C 

Ronda 

02 

6528BC87 

22719EE4 

FD034F6F 

2EF66891 

Ronda 

01 

6FA21399 

A1A4D30D 

45B2E47D 

B5A718DF 

Ronda 

02 

60C97EE2 

7509D120 

7C04EB6C 

8DE033A3 

Ronda 

01 

75C4C689 

5B36142C 

A18AEADD 

22F1EB7 0 

Ronda 

10 

3E08FE25 

DE23F12 6 

F00782B7 

1D64561D 

Descifrado 

3E08FE25 

DE23F12 6 

F00782B7 

1D64561D 


(128 bits) 
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Clave : 8765F4765A8594E74635D86950B78432C756365A15326D0E (192 bits) 


CIFRADO: 

Bloque 



Ronda 

01 


Ronda 

02 


Ronda 

03 


Ronda 

04 


Ronda 

05 


Ronda 

06 


Ronda 

07 


Ronda 

08 


Ronda 

09 


Ronda 

10 


Ronda 

11 


Ronda 

12 


Cifrado 


DESCIFRADO: 

Bloque 


Ronda 

01 

Ronda 

02 

Ronda 

01 

Ronda 

02 

Ronda 

01 

Ronda 

02 

Ronda 

01 

Ronda 

02 

Ronda 

01 

Ronda 

02 

Ronda 

01 

Ronda 

12 

Descif rado 


7563957A 
160FB8C4 
6FCAABF7 
B1FE1D21 
C4A63E0D 
3AD99ABB 
726C6E54 
E9DC1656 
CCE9EE83 
99765788 
D732AFDE 
35EBB7 90 
53C657C8 
53C657C8 


7563957A 
8A102DA6 
EAC1F79A 
109FC072 
FD4EEFDE 
623F847F 
8ADB4E04 
48A546C4 
C253B1A9 
60 7 6F92C 
88241F51 
7DA56D33 
94 622E60 
94 622E60 


7C6E9274 
52 6A9EC9 
D15A8F7D 
4187 4 6AA 
9C5AAA4F 
AD937C2E 
FA30A4 91 
D1F328F5 
33D87F86 
F3391287 
BED82C8 6 
C52B1D57 
41EB61D4 
41EB61D4 


7C6E9274 
32EE44E5 
C3EE67FB 
45BC7406 
3CC42E4F 
2246E5C3 
97319AB8 
56732D30 
D32607F4 
D 62A52EA 
3CBD888F 
B33A0C47 
11AC4FF2 
11AC4FF2 


6E87F937 
D0AFCB2 5 
9A5EDF3E 
9DCA21F6 
B71F18E7 
81572FED 
CF114FD5 
5BEEFF85 
099585FE 
2F36C0DD 
D7A9B478 
C609E1EC 
1BC2421F 
1BC2421F 


6E87F937 
0F5EA9B9 
F8AAA566 
7AE5206B 
5 0BB5BE 9 
FDADA89E 
52A9E478 
A735D297 
E6D6C966 
10204094 
6CBEEFBC 
7BAA575 9 
45976B5C 
45976B5C 


A2F4AB04 
70621BF8 
37A5BC37 
FA2C13FA 
DCDA3D84 
D9E7C4E8 
2 8 9E7E5A 
55D84773 
6D8EC86F 
7F13F5B7 
DDFE7792 
8927113C 
0CC6F92 8 
0CC6F92 8 


A2F4AB04 
85A8D1DB 
5C1EF22D 
0DBD735E 
673BA16D 
5AA2D81C 
F16FEFB9 
82 92A0A3 
62 3A15C 6 
B9CB8884 
F7BB9655 
51C5B996 
20D50554 
20D50554 


(128 bits) 


(128 bits) 


Clave : 8765F4765A8594E74635D86950B78432 

C756365A15326DE012345678E214320A (256 bits) 

CIFRADO: 


Bloque 
Ronda 01 


7563957A 7C6E9274 6E87F937 A2F4AB04 (128 bits) 
160FB8C4 526A9E27 67C2C272 6DAAE23A 
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Ronda 

02 

51EA071B 

CD262D8C 

3E4861B7 

9 9CCC7EB 

Ronda 

03 

7E32CCE3 

2800F0B7 

C7C7F049 

02E624F7 

Ronda 

04 

04FB5028 

8002D19E 

02A99DAD 

F2D8E262 

Ronda 

05 

DACD92A2 

DD89451C 

4FE6B50C 

CF2A40F9 

Ronda 

06 

AEA43CAB 

0356A2B2 

2AB55277 

535718FA 

Ronda 

07 

B4A5EBA6 

412FAC38 

A684D752 

EF68376F 

Ronda 

08 

BF57D255 

45579B83 

B0DFB737 

F7DD1C5F 

Ronda 

09 

C4A02922 

46505017 

D1CA1979 

8C482CE5 

Ronda 

10 

F35D1EF6 

FE10F4BA 

32 6AB6DB 

32AE9F4F 

Ronda 

11 

FCE5A501 

D8E0274E 

D865B039 

8 41FCCFB 

Ronda 

12 

7E4AF5E5 

C3E6C807 

BC97AAF4 

38B13938 

Ronda 

13 

828F3938 

6332099E 

F21541F6 

7 0E4B9B0 

Ronda 

14 

6E8B7B8 3 

67 4D583 9 

19356AFA 

E935735B 

Cifrado 

6E8B7B8 3 

67 4D583 9 

19356AFA 

E935735B 


DESCIFRADO: 


Bloque 


7563957A 

7C6E9274 

6E87F937 

A2F4AB04 

Ronda 

01 

D90293DE 

EFCBC692 

87 62 0BEC 

A9E1A3D9 

Ronda 

02 

6DF747AF 

78006F1F 

4 0DAFBE8 

D333B4C3 

Ronda 

01 

4 96618FA 

C59E36F5 

3ABC05F3 

7011CFA5 

Ronda 

02 

13502465 

4FB09CFA 

6745440A 

BFC062A8 

Ronda 

01 

639BEB46 

25C9AD7 6 

242C9AA9 

39066FDC 

Ronda 

02 

F87CDE96 

69CB5302 

C8AE6B76 

B2FEAF5B 

Ronda 

01 

FC6D0433 

C8E51A5D 

DE349F93 

2D113855 

Ronda 

02 

8F872F53 

D54D5DAA 

1E8CB8 4 9 

E8B2DC30 

Ronda 

01 

33CB011A 

1DE03C16 

A468722A 

2C2A38AA 

Ronda 

02 

68CE0A4D 

3FB38D7D 

FC8060FB 

BCCD1AB9 

Ronda 

01 

14D2CABB 

7D3AAFE8 

48675BF3 

B5133A20 

Ronda 

02 

BEF20489 

FF3AD947 

5B211677 

4EB766DA 

Ronda 

01 

28C8A02E 

B3526182 

0C735A92 

ACDA07 65 

Ronda 

14 

691FB267 

1134AC93 

C77D9FD5 

FA385CF1 

Descif rado 

691FB267 

1134AC93 

C77D9FD5 

FA385CF1 


(128 bits) 


B.4. MD5 


En esta sección detallaremos todos los valores intermédios que se obtienen al apli¬ 
car el algoritmo MD5 a cuatro ejemplos diferentes. El primer campo es la cadena que 
se va a procesar, excluyendo las comillas. El segundo es el bloque de 512 bits de 
entrada —todos los ejemplos que se han incluido producen un único bloque— escri¬ 
to en hexadecimal, que dicha cadena genera, en el que se puede apreciar cómo tras 
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los códigos ASCII correspondientes aparece el valor 80, es decir, un uno seguido de 
ceros, y cómo los últimos 64 bits —correspondientes a los dieciséis últimos dígitos 
hexadecimales— representan la longitud total, en bits, de la cadena. Seguidamente, 
se especifican los valores de los registros a, b, c y d que se obtienen en cada paso, y 
para terminar se da el resultado final de 128 bits, en formato hexadecimal. Nótese 
que, en este caso, la representación como valores enteros de los registros de 32 bits es 
de tipo little endian, es decir, que el byte que primero aparece en el bloque es el menos 
significativo dei valor entero correspondiente. 


Cadena: "a" (8 bits) 


Bloque: 618000000000000000000000000000000000000000000000 
000000000000000000000000000000000000000000000000 
00000000000000000800000000000000 


Inicio 

a=67452301 

b=EFCDAB8 9 

c=98BADCFE 

d=10325476 

Ronda 

4 

a=A56017F4 

b=607D9686 

c=E65857A7 

d=F2D58361 

Ronda 

8 

a=3A9D5BCC 

b=A8AF 6DA5 

c=D31DDC83 

d=E0A07DB7 

Ronda 

12 

a=BE580957 

b=68493D6A 

c=F5FDD933 

d=F3 8 6BEA6 

Ronda 

16 

a=44244CF8 

b=F01E3CE2 

c=6360A45F 

d=D0FE 9B2 7 

Ronda 

20 

a=9C341767 

b=8D25CC66 

c=E3 9FFD2 3 

d=97 0AB3A9 

Ronda 

24 

a=8C444930 

b=373BEAB0 

c=2DACB8A3 

d=72 670 97A 

Ronda 

28 

a=Fl7 5E3AD 

b=C8F8 91B4 

c=87B7F475 

d=9D5DF67E 

Ronda 

32 

a=93842E98 

b=3745961F 

c=94A2EBEE 

d=C7 043B64 

Ronda 

36 

a=BD607DlE 

b=DAF7F3 0 8 

c=BF8B4F98 

d=A6F72 0 8 5 

Ronda 

40 

a=35A82A7A 

b=CF7E60DB 

c=5ABE0 9 9C 

d=8 9E0EC97 

Ronda 

44 

a=75C151E2 

b=CC6F5E9E 

c=0C0E 6AC4 

d=942E0C8 6 

Ronda 

48 

a=0AC50E18 

b=918F93BB 

c=8A4A635 6 

d=79CA7845 

Ronda 

52 

a=CAB8FE42 

b=lEE405EB 

c=362 69C3F 

d=6A4DAEEE 

Ronda 

56 

a=982C7 8 61 

b=8 93501C0 

c=71FC7 7 0 9 

d=6812A362 

Ronda 

60 

a=FEBD 62FD 

b=AA4D8AE3 

c=53E3352 6 

d=2 8 93 6A7 4 

Ronda 

64 

a=52309E0B 

b=B8E94 637 

c=4 9DEE633 

d=50F422F3 

Resultado: 0CC175B9C0F1B6A831C399E269772661 



Cadena: 
Bloque: 


Inicio 
Ronda 4 
Ronda 8 
Ronda 12 
Ronda 16 
Ronda 20 


"test" (32 bit 
74657374800000 
00000000000000 
00000000000000 
: a=67452301 
: a=DED2A12E 
: a=C5ADAD00 
: a=D2B0528F 
: a=70426956 
: a=E6BCA67 9 


s) 

000000000000 
000000000000 
002000000000 
b=EFCDAB8 9 
b=DAF27C2C 
b=E 95CAA4 9 
b=3 9C7F222 
b=02F9BE0B 
b=DCE63C0F 


0000000000000 

0000000000000 

000000 

c=98BADCFE 
c=F1824515 
c=480530DA 
c=E81C99Bl 
c=lC3DC813 
c=A15518 90 


000000000 

000000000 

d=10325476 
d=0F7 4EDAC 
d=B7AC617 9 
d=3A68 633F 
d=6C99C85B 
d=95200EE0 
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Ronda 

24 

a=0 900 98DD 

b=EB97FA59 

c=0 4BA62B4 

d=15C03EC7 

Ronda 

28 

a=7F3420DE 

b=E2 416EB4 

c=89F5CC1E 

d=D933566E 

Ronda 

32 

a=lDFC71B1 

b=377D2CE4 

C=8841B1FD 

d=4CB69E35 

Ronda 

36 

a=4F880ED5 

b=7 96304FE 

c=52B55B13 

d=3 8CC2 4FB 

Ronda 

40 

a=EF7A4FEE 

b=42FB05F0 

c=0F3B0 52F 

d=A7 9F8A38 

Ronda 

44 

a=6A50 9FA0 

b=4995D409 

c=l900 65DE 

d=9009C912 

Ronda 

48 

a=95B45DE9 

b=A5B6C91B 

c=412D4C7B 

d=D02E07C9 

Ronda 

52 

a=F09D8296 

b=32C92 920 

c=10F833EA 

d=FAA53851 

Ronda 

56 

a=79F7507F 

b=CA8F6F9D 

c=19E4244E 

d=3DE05 9DA 

Ronda 

60 

a=117 6200C 

b=82BC7 7EB 

c=997A7EAD 

d=08C989F3 

Ronda 

64 

a=662 66C08 

b=84 057 5BD 

c=EA94 0 ICC 

d=E681D2B0 


Resultado: 098F6BCD4621D373CADE4E832627B4F6 


Cadena: "experimento" (88 bits) 

Bloque: 6578706572696D656E746F80000000000000000000000000 
000000000000000000000000000000000000000000000000 
00000000000000005800000000000000 


Inicio 

a=67452301 

b=EFCDAB8 9 

c=98BADCFE 

d=10325476 

Ronda 

4 

a=5D5Cl9A7 

b=4 6C38F9E 

c=9D 66E5 9 9 

d=Cl8D8C6C 

Ronda 

8 

a=5AlB370A 

b=F00B0D14 

c=C2337BF6 

d=2BBE5411 

Ronda 

12 

a=999F88DB 

b=DD5473D0 

c=4E1035Fl 

d=8 60ED16D 

Ronda 

16 

a=827A70F9 

b=5225BF6B 

c=D7A665AF 

d=FE0775F8 

Ronda 

20 

a=878C66Fl 

b=4 0BEF53B 

c=8A5ABAE0 

d=23DC997C 

Ronda 

24 

a=0C045617 

b=4 68F7 0 8 7 

c=4 6F3 8 6B6 

d=960E2AF4 

Ronda 

28 

a=E34880F5 

b=B0C9B131 

c=58BCA90E 

d=07 90302C 

Ronda 

32 

a=6BEE14CD 

b=538F2F39 

c=FD147E9E 

d=2 4 9FB3A8 

Ronda 

36 

a=B2623128 

b=34B78DF5 

c=D3D94D7C 

d=0AB7F7 7 0 

Ronda 

40 

a=DB335B6F 

b=5A3DCDEA 

c=A5C3B46A 

d=7E4B5 8 0 6 

Ronda 

44 

a=B27D89A2 

b=6841550D 

c=257A8EB5 

d=B9ClC281 

Ronda 

48 

a=7D088655 

b=7 8 9F1C2C 

c=0 60B818B 

d=02DB2 4DB 

Ronda 

52 

a=0E3F05A0 

b=545B70C4 

c=7660DA54 

d=A86030D5 

Ronda 

56 

a=AABCB82 9 

b=47D564F9 

c=6CDBF4D6 

d=FlE81106 

Ronda 

60 

a=A42 98EC8 

b=B52 4 67 0 7 

c=B26DA205 

d=DBB5 6A4C 

Ronda 

64 

a=553D2 62F 

b=A4F7 3 8 0 4 

c=55138A82 

d=83130C35 


Resultado: 304982BC8DE3C4948067CEEDAB604593 


Cadena: "kriptopolis" (88 bits) 

Bloque: 6B726970746F706F6C697380000000000000000000000000 
000000000000000000000000000000000000000000000000 
00000000000000005800000000000000 
Inicio : a=67452301 b=EFCDAB8 9 c=98BADCFE d=10325476 
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Ronda 

4 

a=D9D91CAC 

b=2 4B0 67 7 6 

c=E5B4EE2 8 

d=3ElABFDl 

Ronda 

8 

a=2CC5E57D 

b=C013F682 

c=937C514 6 

d=5ClCDC32 

Ronda 

12 

a=Fl7F3A1B 

b=3AF41990 

c=84045E90 

d=4 5F1B4B2 

Ronda 

16 

a=45781161 

b=4 99471DB 

c=9521F17B 

d=2DD5 6DA0 

Ronda 

20 

a=E1077423 

b=E2B7D25E 

c=2 8 8A14 72 

d=382A7B92 

Ronda 

24 

a=DDD330B8 

b=0C9BCC03 

c=0 60CC302 

d=2A9772C2 

Ronda 

28 

a=96B3C004 

b=7E2FlEAC 

c=2F65093C 

d=5B41A3FC 

Ronda 

32 

a=55C59563 

b=E8FC5DA2 

c=25D8CAE4 

d=3D57 95BE 

Ronda 

36 

a=4C2 9777 6 

b=6518EC96 

c=0F032874 

d=07 8CF1A4 

Ronda 

40 

a=4 41953E2 

b=7 3C8 0FB2 

c=2B4 95D85 

d=B6DBBFED 

Ronda 

44 

a=2 4C417D7 

b=8A6D2 97C 

c=C3FD834A 

d=81C5AC48 

Ronda 

48 

a=F94C12 68 

b=18268270 

c=39A9E934 

d=E9406B33 

Ronda 

52 

a=55703A51 

b=F4D6A7B3 

c=EF9EDE35 

d=4 60E123F 

Ronda 

56 

a=42081E66 

b=50A3ClE5 

c=F85BC50F 

d=ABE4D855 

Ronda 

60 

a=F4D3A73C 

b=9E487E08 

c=BEAE5BB7 

d=8DC8E081 

Ronda 

64 

a=DC5BlFD3 

b=C48CAC59 

c=72B2 4EFA 

d=3AAD4 60B 

Resultado: D442A043E2575AB4F82B6D0B819ADF4A 



B.5. SHA-1 


Se incluyen aqui los valores intermédios dei algoritmo SHA-1 para las mismas 
cuatro cadenas de la sección anterior. Recordemos que en este caso el orden de los 
bytes a la hora de representar enteros es big endian, de forma que, por ejemplo, en la 
representación de la longitud b dei mensaje total el último byte es el menos significa¬ 
tivo. 


Cadena: "a" (8 bits) 

Bloque: 618000000000000000000000000000000000000000000000 
000000000000000000000000000000000000000000000000 
00000000000000000000000000000008 


Ini 

a=67452301 

b=EFCDAB8 9 

c=98BADCFE 

d=1032547 6 

e=C3D2ElF0 

R02 

a=8D43E36D 

b=013498B3 

c=59D148C0 

d=7BF3 6AE2 

e=98BADCFE 

R0 4 

a=98ECF02 9 

b=l7 8D2F0 8 

c=6350F8DB 

d=C04D2 62C 

e=59D148C0 

R0 6 

a=2 4FDDFA9 

b=9531EFB8 

c=663B3C0A 

d=05E34BC2 

e=6350F8DB 

R08 

a=1706BD51 

b=62 82 93E2 

c=4 93F7 7EA 

d=254C7BEE 

e=663B3C0A 

R10 

a=B4 8 4 52FD 

b=E6E3DBB3 

c=45C1AF54 

d=98A0A4F8 

e=4 93F7 7EA 

R12 

a=06A530AF 

b=910E0091 

c=6D2114BF 

d=F9B8F6EC 

e=45ClAF54 

RI 4 

a=94A32E14 

b=DE9B35CA 

c=C1A94C2B 

d=64438024 

e=6D2114BF 

RI 6 

a=2ECAE907 

b=3CD2D518 

c=2528CB85 

d=B7A6CD72 

e=ClA94C2B 

RI 8 

a=l6FFEBFC 

b=5FADB00B 

c=CBB2BA41 

d=0F34B54 6 

e=2528CB85 

R2 0 

a=3ADlE596 

b=AB5 97 9F5 

c=05BFFAFF 

d=D7EB6C02 

e=CBB2BA41 
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R22 

a=57 668EF8 

b=0DD7 4 7B1 

c=8EB47 965 

d=6AD 65E7D 

e=05BFFAFF 

R2 4 

a=587C3B69 

b=57212656 

c=15D9A3BE 

d=4375DlEC 

e=8EB47 965 

R2 6 

a=37225DA7 

b=94A32 67 6 

c=5 61F0EDA 

d=95C84995 

e=15D9A3BE 

R2 8 

a=D72C806E 

b=C073A57E 

c=CDC89769 

d=A528C99D 

e=5 61F0EDA 

R30 

a=22 9C3156 

b=8 31D0 3EB 

c=B5CB2 01B 

d=B01CE95F 

e=CDC89769 

R32 

a=94F65775 

b=B4F37 984 

c=88A70C55 

d=E0C7 4 0FA 

e=B5CB2 01B 

R34 

a=C174A741 

b=2A032F9B 

c=653D95DD 

d=2D3CDE61 

e=88A70C55 

R3 6 

a=25E95D6B 

b=4 818 4 4C5 

c=7 05D2 9D0 

d=CA8 0CBE 6 

e=653D95DD 

R38 

a=42285BBl 

b=FC08D9F3 

c=C97A575A 

d=52061131 

e=7 05D2 9D0 

R4 0 

a=AC15A69D 

b=A3B72B37 

c=5 0 8A16EC 

d=FF02367C 

e=C97A575A 

R42 

a=504F64Cl 

b=E6CDlF2C 

c=6B0569A7 

d=E8EDCACD 

e=508A16EC 

R4 4 

a=7D09F328 

b=B4 5FC818 

c=5413D930 

d=39B347CB 

e=6B0569A7 

R4 6 

a=B4 4DB2B6 

b=7B7354D5 

c=lF427CCA 

d=2D17F206 

e=5413D930 

R4 8 

a=F9ADD677 

b=C43968F2 

c=ADl3 6CAD 

d=5EDCD535 

e=lF427CCA 

R50 

a=2D5EDB7 0 

b=5432B748 

c=FE6B759D 

d=Bl0E5A3C 

e=ADl3 6CAD 

R52 

a=7ClB92Bl 

b=5C350FCB 

c=0B57B6DC 

d=150CADD2 

e=FE6B759D 

R54 

a=C530EAD6 

b=C60F44D9 

c=5F0 6E4AC 

d=D7 0D4 3F2 

e=0B57B6DC 

R5 6 

a=AF4F737E 

b=D7Al1B3 6 

c=Bl4C3AB5 

d=7183D136 

e=5F0 6E4AC 

R58 

a=6834 6C20 

b=81923337 

c=ABD3DCDF 

d=B5E846CD 

e=Bl4C3AB5 

R60 

a=C682F53F 

b=8 0C8 4 72 4 

C=1A0D1B08 

d=E0 64 8CCD 

e=ABD3DCDF 

R62 

a=CEEC2B0 4 

b=l93B35BD 

C=F1A0BD4F 

d=203211C9 

e=lA0DlB08 

R64 

a=377A9914 

b=82 9ED919 

c=33BB0ACl 

d=4 64ECD 6F 

e=FlA0BD4F 

R66 

a=CD6D6C13 

b=DAC285B9 

c=0DDEA645 

d=60A7B64 6 

e=33BB0ACl 

R68 

a=D3FCDF01 

b=6397 62AA 

c=F35B5B0 4 

d=7 6B0A16E 

e=0DDEA645 

R7 0 

a=C4B7 981A 

b=3E5A0CCl 

c=74FF37C0 

d=98E5D8AA 

e=F35B5B04 

R72 

a=42 650D2 6 

b=26F94DF5 

c=B12DE606 

d=4F968330 

e=74FF37C0 

R7 4 

a=65E8D2 95 

b=94 87B5C9 

c=90994349 

d=4 9BE537D 

e=B12DE606 

R7 6 

a=CE8E1721 

b=064CC166 

c=5 97A34A5 

d=6521ED72 

e=90 9 94 34 9 

R7 8 

a=22 8 9037 9 

b=A6E259D2 

c=7 3A385C8 

d=81933059 

e=597A34A5 

R80 

a=lFB2C136 

b=0AD7FC7 3 

c=4 8A2 4 ODE 

d=A9B8 9 67 4 

e=73A385C8 


Resultado: 8 6F7E437FAA5A7FCE15D1DDCB9EAEAEA37 7 6 67B8 


Cadena: "test" (32 bits) 

Bloque: 746573748000000000000000000000000000000000000000 
000000000000000000000000000000000000000000000000 
00000000000000000000000000000020 


Ini 

a=67452301 

b=EFCDAB8 9 

c=98BADCFE 

d=1032547 6 

e=C3D2ElF0 

R02 

a=69F251EF 

b=l41A0C2 7 

c=59D148C0 

d=7BF3 6AE2 

e=98BADCFE 

R0 4 

a=D698D619 

b=AD7 8FF4 4 

c=DA7C947B 

d=C5068309 

e=59D148C0 

R0 6 

a=27A84E9E 

b=4FEDl9DC 

c=7 5A6358 6 

d=2B5E3FDl 

e=DA7C947B 

R08 

a=D1725C31 

b=8FBFl95D 

c=8 9EA13A7 

d=l3FB4 67 7 

e=7 5A6358 6 

R10 

a=C43997BA 

b=985E8C80 

c=745C970C 

d=63EFC657 

e=8 9EA13A7 
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R12 

a=E671210F 

b=DF 9D4AEF 

c=Bl0E 65EE 

d=2617A320 

e=745C970C 

RI 4 

a=3A4BF38D 

b=4E12148F 

c=F99C4843 

d=F7E752BB 

e=Bl0E 65EE 

Ri 6 

a=0690C!E0 

b=4F04 93 61 

c=4E92FCE3 

d=D3848523 

e=F99C4843 

RI 8 

a=28D8607D 

b=ED827 927 

c=01A4 3 0 7 8 

d=53C124D8 

e=4E92FCE3 

R2 0 

a=A5 94E7C5 

b=D7E2BB5 9 

c=4A36181F 

d=FB60 9E4 9 

e=01A43078 

R22 

a=3E7F1747 

b=8 9CF51DE 

c=696539Fl 

d=75F8AED6 

e=4A36181F 

R2 4 

a=08667DF4 

b=Cl714F4 3 

c=CF9FC5Dl 

d=A2 7 3D4 7 7 

e=696539Fl 

R2 6 

a=F7 8CDC7E 

b=63420FC9 

c=0219 9F7D 

d=F05C53D0 

e=CF9FC5Dl 

R2 8 

a=301C99FA 

b=Cl1D0 4BC 

c=BDE3371F 

d=58D083F2 

e=02199F7D 

R30 

a=31E08911 

b=2563E943 

c=8C072 67E 

d=3047412F 

e=BDE3371F 

R32 

a=63D7 91B9 

b=99B4D18E 

c=4C782244 

d=C958FA50 

e=8C072 67E 

R34 

a=66AA9C75 

b=0525A937 

c=58F5E46E 

d=A66D3 4 63 

e=4C782244 

R3 6 

a=3E4E8518 

b=BFlCD105 

c=5 9AAA71D 

d=C14 96A4D 

e=58F5E46E 

R38 

a=B32B1931 

b=l8AB8 9BD 

c=0F93A146 

d=6FC73441 

e=5 9AAA71D 

R4 0 

a=80F54 9BF 

b=ED3E0D7 5 

c=6CCAC64C 

d=4 62AE2 6F 

e=0F93A14 6 

R4 2 

a=04BDFD8 6 

b=B6353C2E 

c=E03D526F 

d=7B4F835D 

e=6CCAC64C 

R4 4 

a=875C7539 

b=02132FC0 

c=812F7F61 

d=AD8D4F0B 

e=E03D526F 

R4 6 

a=5 67A94C8 

b=64C62440 

c=61D71D4E 

d=0084CBF0 

e=812F7F61 

R4 8 

a=CA454844 

b=AE30686B 

c=159EA532 

d=19318910 

e=61D71D4E 

R50 

a=D24F0B7 6 

b=F039F33C 

c=32915211 

d=EB8ClAlA 

e=159EA532 

R52 

a=E0D4BBAF 

b=4 6A8 9C7 4 

c=B4 93C2DD 

d=3C0E7CCF 

e=32915211 

R54 

a=3F042183 

b=9ElA2F5D 

c=F8352EEB 

d=l1AA2 71D 

e=B4 93C2DD 

R5 6 

a=13496F6A 

b=ACB50C2A 

c=CFC10860 

d=67 8 68BD7 

e=F8352EEB 

R58 

a=6465 6 6EF 

b=B3E7F37D 

c=84D25BDA 

d=AB2D430A 

e=CFC10860 

R60 

a=1387E9E4 

b=2Al06003 

c=D91959BB 

d=6CF 9FCDF 

e=84D25BDA 

R62 

a=FC4 61EB0 

b=7A8ACB6F 

C=04E1FA7 9 

d=CA841800 

e=D91959BB 

R64 

a=F0 0B17 8D 

b=4E7E642E 

c=3Fl187AC 

d=DEA2B2DB 

e=04ElFA7 9 

R6 6 

a=3810D68A 

b=39938A7E 

c=7C02C5E3 

d=939F990B 

e=3Fl187AC 

R68 

a=02152E1A 

b=l1876ADB 

c=8E0435A2 

d=8E 64E2 9F 

e=7C02C5E3 

R7 0 

a=DFEB6670 

b=69F18CE7 

c=80854B86 

d=C4 61DAB6 

e=8E0435A2 

R72 

a=25C4 9F67 

b=4F 6EC7D7 

c=37FAD99C 

d=DA7C633 9 

e=80854B8 6 

R7 4 

a=A3CEFF95 

b=882DA0C9 

c=C97127D9 

d=D3DBBlF5 

e=37FAD99C 

R7 6 

a=5173678F 

b=24CEC91C 

c=68F3BFE5 

d=620B6832 

e=C97127D9 

R7 8 

a=0E4 4ADD6 

b=0D7E5447 

c=D45CD9E3 

d=0933B247 

e=68F3BFE5 

R80 

a=42 05 6CE4 

b=DCE3F01D 

c=83912B75 

d=C35F9511 

e=D45CD9E3 


Resultado: A94A8FE5CCB19BA61C4C0873D391E987982FBBD3 


Cadena: "experimento" (88 bits) 

Bloque: 6578706572696D656E746F80000000000000000000000000 
000000000000000000000000000000000000000000000000 
00000000000000000000000000000058 

Ini: a=67452301 b=EFCDAB8 9 c=98BADCFE d=10325476 e=C3D2E!F0 


Manuel J. Lucena López 


Criptografia y Seguridad en Computadores 




298 


B. Ayudas a la Implementación 


R02 

a=7EBB5D72 

b=052D0918 

c=59D148C0 

d=7BF3 6AE2 

e=98BADCFE 

RO 4 

a=7 5DD0E53 

b=B4F0DF4 8 

c=9FAED75C 

d=014B424 6 

e=59D148C0 

RO 6 

a=BF3915DD 

b=05A16415 

c=DD774394 

d=2D3C37D2 

e=9FAED75C 

R08 

a=9B5914Bl 

b=0E916082 

c=6FCE4577 

d=41685905 

e=DD7 7 4 3 94 

RIO 

a=E406B102 

b=F304AC67 

c=66D6452C 

d=83A45820 

e=6FCE4577 

R12 

a=7E5DA8FA 

b=ADCB33 90 

c=B901AC40 

d=FCC12Bl9 

e=66D6452C 

RI 4 

a=C474F542 

b=8 60F0 61D 

c=9F97 6A3E 

d=2B72CCE4 

e=B901AC40 

RI 6 

a=14CC37BD 

b=519A992D 

C=B11D3D50 

d=6183C187 

e=9F97 6A3E 

RI 8 

a=B07CDCEE 

b=DAD2 7 4C5 

c=45330DEF 

d=54 66A64B 

e=BHD3D50 

R2 0 

a=DBA8A4 60 

b=3C5ABB3E 

c=AC1F373B 

d=7 6B4 9D31 

e=45330DEF 

R22 

a=CF0B14 62 

b=D9B84C74 

c=3 6EA2 918 

d=8Fl6AECF 

e=AClF373B 

R2 4 

a=00FA7488 

b=B5017A00 

c=B3C2C518 

d=366E131D 

e=36EA2918 

R2 6 

a=678F9C3D 

b=55535315 

c=003E9D22 

d=2D405E80 

e=B3C2C518 

R2 8 

a=3 6ED4BC6 

b=2C053172 

c=5 9E3E7 0F 

d=5554D4C5 

e=003E9D22 

R30 

a=D4 6C6C32 

b=CEF800E2 

c=8DBB52Fl 

d=8B014C5C 

e=5 9E3E7 0F 

R32 

a=31B75696 

b=7109F222 

c=B51B1B0C 

d=B3BE0038 

e=8DBB52Fl 

R34 

a=7CAE903B 

b=5BC99A55 

c=8C6DD5A5 

d=9C427C88 

e=B51BlB0C 

R3 6 

a=7B134BC7 

b=522A7 3DB 

c=DF2BA4 0E 

d=56F26695 

e=8C6DD5A5 

R38 

a=AF987330 

b=A90C2 8E7 

c=DEC4D2Fl 

d=D4 8A9CF 6 

e=DF2BA4 OE 

R4 0 

a=3A7 93DF9 

b=8 8 4 7DFE3 

c=2BE61CCC 

d=EA430A39 

e=DEC4D2Fl 

R42 

a=7 923847 6 

b=B7083AlD 

c=4E9E4F7E 

d=E211F7F8 

e=2BE61CCC 

R4 4 

a=6381087C 

b=8 60C3C8 6 

C=9E48E11D 

d=6DC20E87 

e=4E9E4F7E 

R4 6 

a=4 601F05C 

b=2DCC4 9C0 

c=18E0421F 

d=Al830F21 

e=9E48EHD 

R4 8 

a=8EB6C83B 

b=lC149969 

c=11807C17 

d=0B7 312 7 0 

e=18E0421F 

R50 

a=D5D7 9282 

b=5666238B 

c=E3ADB2 0E 

d=4705265A 

e=11807C17 

R52 

a=0C947120 

b=0823F989 

c=B575E4A0 

d=D59988E2 

e=E3ADB2 OE 

R54 

a=C218BAA5 

b=920A30EA 

c=03251C48 

d=4208FE62 

e=B575E4A0 

R5 6 

a=B5022079 

b=F30D7 65D 

c=7 0 8 62EA9 

d=A4 82 8C3A 

e=03251C48 

R58 

a=E7 0F5DFB 

b=7 6 6D14A3 

c=6D40881E 

d=7CC35D97 

e=70862EA9 

R60 

a=110BCB99 

b=4 6BA94E7 

c=F 9C3D7 7E 

d=DD 9B4 52 8 

e=6D40881E 

R62 

a=F200718D 

b=63A74A72 

c=4442F2E6 

d=DlAEA53 9 

e=F 9C3D7 7E 

R64 

a=23F6D36A 

b=21C432A4 

c=7C801C63 

d=98E9D29C 

e=4442F2E6 

R66 

a=C210491B 

b=7 97 3CC2D 

c=8 8FDB4DA 

d=08710CA9 

e=7C801C63 

R68 

a=34DC1778 

b=383D5D93 

c=F0841246 

d=5E5CF30B 

e=8 8FDB4DA 

R7 0 

a=67 4E55A5 

b=4 63558B7 

c=0D3705DE 

d=CE0F57 64 

e=F0841246 

R72 

a=E452151C 

b=DB637 9D9 

c=59D39569 

d=Dl8D5 62D 

e=0D3705DE 

R7 4 

a=CE40A960 

b=95A1780C 

c=39148547 

d=7 6D8DE7 6 

e=5 9D3 95 6 9 

R7 6 

a=42B352EB 

b=7 994D2F8 

c=33902A58 

d=25685E03 

e=39148547 

R7 8 

a=E3B07323 

b=ADDFDC7 3 

c=D0ACD4BA 

d=lE6534BE 

e=33902A58 

R80 

a=21D68E4 6 

b=6F2351DF 

c=F8EC1CC8 

d=EB7 7F71C 

e=D0ACD4BA 


Resultado: 891BB1475EF0FD6891A6F9C6FBAA4B92947FB6AA 
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Cadena: "kriptopolis" (88 bits) 

Bloque: 6B726970746F706F6C697380000000000000000000000000 
000000000000000000000000000000000000000000000000 
00000000000000000000000000000058 


Ini 

a=67452301 

b=EFCDAB8 9 

c=98BADCFE 

d=1032547 6 

e=C3D2ElF0 

R02 

a=400081DD 

b=0B270223 

c=59D148C0 

d=7BF3 6AE2 

e=98BADCFE 

R0 4 

a=61557CFE 

b=D9886E7F 

c=50002077 

d=C2C9C088 

e=59D148C0 

R0 6 

a=B62CB64 6 

b=3145031C 

c=98555F3F 

d=F6621B9F 

e=50002077 

R08 

a=2D45AF5F 

b=4 6807E85 

c=AD8B2D91 

d=0C5140C7 

e=98555F3F 

R10 

a=F4 3BF 9F 6 

b=A85EF180 

c=CB516BD7 

d=51A01FA1 

e=AD8B2D91 

R12 

a=072108C8 

b=697D55A9 

C=BD0EFE7D 

d=2A17BC60 

e=CB516BD7 

RI 4 

a=DF29879C 

b=3503FAD9 

c=01C84232 

d=5A5F556A 

e=BD0EFE7D 

RI 6 

a=0678F27A 

b=4 81EB2E3 

c=37CA61E7 

d=4D4 0FEB6 

e=01C84232 

RI 8 

a=A15AB731 

b=3EE 9ADE2 

c=819E3C9E 

d=D207ACB8 

e=37CA61E7 

R2 0 

a=AB2F7D99 

b=5704D5FE 

c=6856ADCC 

d=8FBA6B7 8 

e=819E3C9E 

R22 

a=2 8A91B1F 

b=D90DB07B 

c=6ACBDF66 

d=95C1357F 

e=6856ADCC 

R2 4 

a=C2BE33DB 

b=4B342F34 

c=CA2A4 6C7 

d=F64 3 6C1E 

e=6ACBDF66 

R2 6 

a=lDAB7 331 

b=2 7F1416F 

c=F0AF8CF6 

d=12CD0BCD 

e=CA2A4 6C7 

R2 8 

a=D85BDF45 

b=AB5 92 7D5 

c=4 7 6ADCCC 

d=C9FC505B 

e=F0AF8CF6 

R30 

a=43B8E8A4 

b=74386A94 

c=7 616F7D1 

d=6AD649F5 

e=4 7 6ADCCC 

R32 

a=3DAAE44F 

b=7 7 4E717 2 

c=l0EE3A2 9 

d=lD0ElAA5 

e=7 616F7D1 

R34 

a=4FDClB88 

b=5D5610Fl 

c=CF6AB913 

d=9DD39C5C 

e=l0EE3A2 9 

R3 6 

a=7E58EA7B 

b=EA9DF552 

c=13F7 0 6E2 

d=5755843C 

e=CF6AB913 

R38 

a=B94B8784 

b=7CDB656F 

c=DF963A9E 

d=BAA77D54 

e=13F7 0 6E2 

R4 0 

a=l9B5 6EA2 

b=88361E28 

C=2E52E1E1 

d=DF3 6D95B 

e=DF963A9E 

R4 2 

a=C5C402CE 

b=B4AAlC2E 

c=8 6 6D5BA8 

d=220D878A 

e=2E52ElEl 

R4 4 

a=087893Cl 

b=E5C8DD17 

c=Bl710 0B3 

d=AD2A870B 

e=866D5BA8 

R4 6 

a=10C39FA5 

b=8 7 81E3DC 

c=421E24F0 

d=F9723745 

e=B17100B3 

R4 8 

a=FCA2E4E9 

b=00DB97DB 

c=4430E7E9 

d=21E078F7 

e=421E24F0 

R50 

a=29675B14 

b=E07CFB83 

c=7F28B93A 

d=C036E5F6 

e=4430E7E9 

R52 

a=30C83C92 

b=E8C85C50 

c=0A5 9D 6C5 

d=F81F3EE0 

e=7F28B93A 

R54 

a=873B832C 

b=4D532 9BE 

c=8C32 0F2 4 

d=3A321714 

e=0A59D6C5 

R5 6 

a=EA05D012 

b=5EEEl5EE 

c=21CEE0CB 

d=9354CA6F 

e=8C320F24 

R58 

a=2E530 9FD 

b=C3E8ACC8 

c=BA817404 

d=97BB857B 

e=21CEE0CB 

R60 

a=6312 9A6C 

b=9D77469B 

c=4B94C27F 

d=30FA2B32 

e=BA817404 

R62 

a=10600A4F 

b=EB9C641B 

c=l8C4A6 9B 

d=E75DDlA6 

e=4B94C27F 

R64 

a=B67A32B2 

b=732 6BFF5 

c=C4180293 

d=FAE7190 6 

e=18C4A69B 

R6 6 

a=844 64 9E5 

b=E8A7 0 7A8 

c=AD9E8CAC 

d=5CC9AFFD 

e=C4180293 

R68 

a=F7 01EFA0 

b=5EF 9 92A0 

c=61119279 

d=3A2 9C1EA 

e=AD9E8CAC 

R7 0 

a=57E47E05 

b=70BF4F9C 

c=3DC07BE8 

d=17BE64A8 

e=61119279 

R72 

a=A84D0A88 

b=4B833CB9 

c=55F91F81 

d=lC2FD3E7 

e=3DC07BE8 

R7 4 

a=0B3CD2 93 

b=2B01A32B 

c=2A1342A2 

d=52E0CF2E 

e=55F91F81 

R7 6 

a=C79E506D 

b=A1584161 

c=C2CF34A4 

d=CAC0 68CA 

e=2A1342A2 
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R78: a=7 6144 9FA b=DB91E0C7 c=71E7941B d=68561058 
R80: a=8AB3 6355 b=2F2C07DB c=9D85127E d=F6E47831 
Resultado: F1F886561EF9B364363FEF7C0716CCA735BA760B 


e=C2CF34A4 
e=71E7 941B 
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